Apache Airflow < 2.4.0 RCE CVE-2022-40127 POC

admin 2022年11月26日22:26:51安全漏洞 安全文章评论52 views622字阅读2分4秒阅读模式

#Apache #Airflow < 2.4.0 示例 dag #RCE #CVE #POC的 CVE-2022-40127 POC

在最高 2.3.x的 Apache Airflow 中发现了一个被归类为严重的漏洞。此问题影响组件UI的未知功能。run_id使用未知输入操作参数会导致权限提升漏洞。使用 CWE 声明问题导致CWE-94。该软件使用来自上游组件的受外部影响的输入来构造全部或部分代码段,但它不会中和或错误地中和可能修改预期代码段的语法或行为的特殊元素。受影响的是机密性、完整性和可用性。CVE 的总结是:

Apache Airflow 的 Example Dags 中的一个漏洞允许具有 UI 访问权限且可以触发 DAG 的攻击者通过手动提供的 run_id 参数执行任意命令。此问题会影响 Apache Airflow 2.4.0 之前的 Apache Airflow 版本。

该弱点于 2022 年 11 月 14 日提出。可以阅读lists.apache.org上的建议。自 09/06/2022 起,此漏洞的标识为CVE-2022-40127。该漏洞的技术细节是已知的,但没有可用的漏洞。目前,漏洞利用的定价可能在 0 美元至 5000 美元左右(估计于 2022 年 11 月 14 日计算)。根据MITRE ATT&CK,本期部署的攻击技术为T1059 。

升级到版本 2.4.0 消除了此漏洞。应用补丁可以消除这个问题。

Apache Airflow < 2.4.0 RCE CVE-2022-40127 POC


原文始发于微信公众号(Ots安全):Apache Airflow < 2.4.0 RCE CVE-2022-40127 POC

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月26日22:26:51
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Apache Airflow < 2.4.0 RCE CVE-2022-40127 POC https://cn-sec.com/archives/1418201.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: