CVE-2023-40273 in Airflow정보

요약

\~에 의해 VulDB • 2026. 06. 24.

세션 고정 취약점으로 인해 관리자가 사용자의 비밀번호를 재설정하더라도 해당 세션이 만료될 때까지 인증된 사용자가 Airflow 웹서버에 계속 접근할 수 있었습니다. 데이터베이스 세션 백엔드를 사용하는 경우 수동으로 세션 데이터를 정리하거나, secure_key 값을 변경하고 웹서버를 다시 시작하는 것 외에는 사용자(및 동일한 키를 공유하는 다른 모든 사용자)의 로그아웃을 강제하기 위한 메커니즘이 없었습니다.

이번 수정 사항 적용 후 데이터베이스 세션 백엔드를 사용할 경우 사용자의 비밀번호가 재설정되면 해당 사용자의 기존 세션은 무효화됩니다. securecookie 세션 백엔드의 경우 세션은 무효화되지 않으며 여전히 secure key 변경 및 웹서버 재시작(다른 모든 사용자 로그아웃 포함)이 필요하지만, 비밀번호를 재설정하는 사용자에게는 UI에 경고 플래시 메시지가 표시되어 이 사실을 알 수 있습니다. 또한 관련 문서도 이러한 동작을 설명하도록 업데이트되었습니다.

사용자는 Apache Airflow 버전 2.7.0 이상으로 업그레이드하여 해당 취약점과 관련된 위험을 완화할 것을 권장합니다.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

예약하다

2023. 08. 13.

모더레이션

수락

항목

VDB-237877

EPSS

0.01366

출처

Do you need the next level of professionalism?

Upgrade your account now!