CVE-2023-51702 in Airflowinformación

Resumen

por MITRE • 2024-01-24

Desde la versión 5.2.0, cuando se utiliza el modo diferible con la ruta de un archivo de configuración de Kubernetes para la autenticación, el trabajador de Airflow serializa este archivo de configuración como un diccionario y lo envía al activador almacenándolo en metadatos sin ningún cifrado. Además, si se utiliza con una versión de Airflow entre 2.3.0 y 2.6.0, el diccionario de configuración se registrará como texto plano en el servicio activador sin enmascaramiento. Esto permite que cualquier persona con acceso a los metadatos o al registro del activador obtenga el archivo de configuración y lo utilice para acceder al clúster de Kubernetes. Este comportamiento se cambió en la versión 7.0.0, que dejó de serializar el contenido del archivo y comenzó a proporcionar la ruta del archivo para leer el contenido en el activador. Se recomienda a los usuarios actualizar a la versión 7.0.0, que soluciona este problema.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Reservar

2023-12-21

Divulgación

2024-01-24

Moderación

aceptado

Artículo

VDB-251953

CPE

listo

EPSS

0.00381

KEV

no

Actividades

muy bajo

Fuentes

Do you want to use VulDB in your project?

Use the official API to access entries easily!