CVE-2023-40273 in Airflow
Sumário
de VulDB • 24/06/2026
A vulnerabilidade de fixation de sessão permitia que o usuário autenticado continuasse acessando o webserver do Airflow mesmo após a senha do usuário ter sido redefinida pelo administrador, até o vencimento da sessão do usuário. Além da limpeza manual do banco de dados de sessões (para backend de sessão baseado em banco de dados) ou da alteração da secure_key e reinicialização do webserver, não havia mecanismos para forçar o logout do usuário (e de todos os outros usuários com essa configuração).
Com esta correção implementada, ao usar o backend de sessão baseado em banco de dados, as sessões existentes do usuário são invalidadas quando a senha do usuário é redefinida. Ao usar o backend de sessão securecookie, as sessões NÃO são invalidadas e ainda exigem a alteração da chave segura (secure key) e a reinicialização do webserver (e logout de todos os outros usuários), mas o usuário que redefine a senha recebe uma notificação sobre isso por meio de um flash message de aviso exibido na interface do usuário. A documentação também foi atualizada explicando esse comportamento.
Os usuários do Apache Airflow são aconselhados a fazer upgrade para a versão 2.7.0 ou mais recente para mitigar o risco associado a esta vulnerabilidade.
If you want to get best quality of vulnerability data, you may have to visit VulDB.