CVE-2023-51702 in Airflowinformazioni

Riassunto

di VulDB • 12/07/2026

Dalla versione 5.2.0, quando si utilizza la modalità differibile (deferrable mode) con il percorso di un file di configurazione Kubernetes per l'autenticazione, il worker di Airflow serializza tale file di configurazione come dizionario e lo invia al triggerer memorizzandolo nei metadati senza alcuna crittografia. Inoltre, se utilizzato con una versione di Airflow compresa tra la 2.3.0 e la 2.6.0, il dizionario della configurazione viene registrato in chiaro nel servizio del triggerer senza mascheramento. Ciò consente a chiunque abbia accesso ai metadati o al log del triggerer di ottenere il file di configurazione e utilizzarlo per accedere al cluster Kubernetes.

Questo comportamento è stato modificato nella versione 7.0.0, che ha interrotto la serializzazione dei contenuti del file iniziando invece a fornire il percorso del file per leggere i contenuti nel trigger. Si consiglia agli utenti di eseguire l'aggiornamento alla versione 7.0.0, che risolve questo problema.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Prenotare

21/12/2023

Divulgazione

24/01/2024

Moderazione

accettato

CPE

pronto

EPSS

0.00381

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!