0x00 漏洞编号

• CVE-2023-45348

0x01 危险等级

• 高危
  

0x02 漏洞概述

Apache Airflow是Airbnb开源的一款数据流程工具，目前是Apache孵化项目。以灵活的方式来支持数据的ETL过程，同时还支持非常多的插件来完成诸如HDFS监控、邮件通知等功能。Airflow支持单机和分布式两种模式，支持Master-Slave模式，支持Mesos等资源调度，有非常好的扩展性。

0x03 漏洞详情

CVE-2023-45348

漏洞类型：信息泄露

影响：配置信息泄露

简述：Apache Airflow版本2.7.0和2.7.1中，当expose_config选项设置为non-sensitive-only时，经过身份验证的威胁者可利用该漏洞获取敏感配置信息。

0x04 影响版本

• 2.7.0 <= Apache Airflow <= 2.7.1

0x05 修复建议

目前官方已发布漏洞修复版本，建议用户升级到安全版本：

https://airflow.apache.org/

原文始发于微信公众号（浅安安全）：漏洞预警 | Apache Airflow信息泄露漏洞