Apache Airflow < 2.4.0 RCE CVE-2022-40127 POC

#Apache #Airflow < 2.4.0 示例 dag #RCE #CVE #POC的 CVE-2022-40127 POC

在最高 2.3.x的 Apache Airflow 中发现了一个被归类为严重的漏洞。此问题影响组件UI的未知功能。run_id使用未知输入操作参数会导致权限提升漏洞。使用 CWE 声明问题导致CWE-94。该软件使用来自上游组件的受外部影响的输入来构造全部或部分代码段，但它不会中和或错误地中和可能修改预期代码段的语法或行为的特殊元素。受影响的是机密性、完整性和可用性。CVE 的总结是：

Apache Airflow 的 Example Dags 中的一个漏洞允许具有 UI 访问权限且可以触发 DAG 的攻击者通过手动提供的 run_id 参数执行任意命令。此问题会影响 Apache Airflow 2.4.0 之前的 Apache Airflow 版本。

该弱点于 2022 年 11 月 14 日提出。可以阅读lists.apache.org上的建议。自 09/06/2022 起，此漏洞的标识为CVE-2022-40127。该漏洞的技术细节是已知的，但没有可用的漏洞。目前，漏洞利用的定价可能在 0 美元至 5000 美元左右（估计于 2022 年 11 月 14 日计算）。根据MITRE ATT&CK，本期部署的攻击技术为T1059 。

升级到版本 2.4.0 消除了此漏洞。应用补丁可以消除这个问题。

原文始发于微信公众号（Ots安全）：Apache Airflow < 2.4.0 RCE CVE-2022-40127 POC