流行的工作流管理平台 Apache Airflow 中存在一个漏洞,可能会无意中暴露敏感配置数据,从而可能危及系统安全。
该漏洞编号为 CVE-2024-45784,CVSS 评分为 7.5(高严重性),影响 2.10.3 之前的所有 Airflow 版本。该漏洞源于平台默认未能屏蔽任务日志中的敏感配置值。
这种疏忽意味着有向无环图 (DAG) 作者可能会无意甚至有意地记录敏感信息,例如 API 密钥、数据库凭据或其他关键机密。如果未经授权的用户获得这些日志的访问权限,他们可以利用这些暴露的数据来破坏整个 Airflow 部署。
风险:
-
数据泄露:攻击者可以获取机密信息,包括客户数据、财务记录或专有代码。
-
系统入侵:暴露的凭证可能让攻击者获得关键系统和基础设施的控制权。
-
横向移动:攻击者可以利用受感染的系统来转移并访问网络的其他部分。
减轻:
Apache Airflow 团队已在2.10.3版本中修复此漏洞。强烈建议所有用户立即升级到此版本或更高版本。
此外,组织应检查其 Airflow 日志,以查找任何可能暴露的机密。如果发现敏感信息,作为预防措施,轮换这些机密至关重要。
原文始发于微信公众号(Ots安全):CVE-2024-45784:Apache Airflow 漏洞暴露日志中的敏感数据
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论