CVE-2023-40273 in Airflowinformação

Sumário

de VulDB • 24/06/2026

A vulnerabilidade de fixation de sessão permitia que o usuário autenticado continuasse acessando o webserver do Airflow mesmo após a senha do usuário ter sido redefinida pelo administrador, até o vencimento da sessão do usuário. Além da limpeza manual do banco de dados de sessões (para backend de sessão baseado em banco de dados) ou da alteração da secure_key e reinicialização do webserver, não havia mecanismos para forçar o logout do usuário (e de todos os outros usuários com essa configuração).

Com esta correção implementada, ao usar o backend de sessão baseado em banco de dados, as sessões existentes do usuário são invalidadas quando a senha do usuário é redefinida. Ao usar o backend de sessão securecookie, as sessões NÃO são invalidadas e ainda exigem a alteração da chave segura (secure key) e a reinicialização do webserver (e logout de todos os outros usuários), mas o usuário que redefine a senha recebe uma notificação sobre isso por meio de um flash message de aviso exibido na interface do usuário. A documentação também foi atualizada explicando esse comportamento.

Os usuários do Apache Airflow são aconselhados a fazer upgrade para a versão 2.7.0 ou mais recente para mitigar o risco associado a esta vulnerabilidade.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Reservar

13/08/2023

Divulgação

23/08/2023

Moderação

aceite

Entrada

VDB-237877

CPE

pronto

EPSS

0.01366

KEV

não

Atividades

muito baixo

Fontes

Want to know what is going to be exploited?

We predict KEV entries!