大家可以把蚁剑安全实验室“设为星标”,这样就可以及时看到我们最新发布的“漏洞预警”及“漏洞复现”的安全内容啦!
免责声明:该文章仅用于技术讨论与学习。请勿利用文章所提供的相关技术从事非法测试,若利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果均与文章作者及本账号无关。
漏洞名称
Apache Airflow 日志信息泄露漏洞
漏洞等级
高危漏洞
漏洞详情
Apache Airflow是美国阿帕奇(Apache)基金会的一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。Apache Airflow存在日志信息泄露漏洞。该漏洞源于将敏感信息插入了日志文件,当rediss、amqp、rpc协议用作Celery结果后端时,敏感信息记录为明文, 注意:该漏洞是关于暴露在日志中的信息,而不是关于访问日志。
| 漏洞编号 |
CVE-2023-46215 | 漏洞类型 |
信息泄露漏洞 |
| POC状态 | 未知 |
漏洞细节 |
未知 |
| EXP状态 |
未知 | 在野漏洞 |
未知 |
受影响版本
3.3.0<=apache-airflow-providers-celery<3.4.1rc1,1.10.0<=apache-airflow<2.7.0rc2
检测方法:
通过查看当前版本进行检测
修复建议
建议用户
将Airflow Celery提供程序升级到3.4.1版,
将Apache Airlfow升级到2.7.0版
参考链接
https://github.com/apache/airflow/pull/34954
https://lists.apache.org/thread/wm1jfmks7r6m7bj0mq4lmw3998svn46n
https://nvd.nist.gov/vuln/detail/CVE-2023-46215
https://seclists.org/oss-sec/2023/q4/193
https://www.openwall.com/lists/oss-security/2023/10/28/1
http://www.openwall.com/lists/oss-security/2023/10/28/1
https://github.com/apache/airflow
原文始发于微信公众号(蚁剑安全实验室):【漏洞预警】Apache Airflow 日志信息泄露漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论