关联漏洞
标题:Apache Airflow 授权问题漏洞 (CVE-2021-38540)Description:Apache Airflow是美国阿帕奇(Apache)基金会的一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。 Apache Airflow 中存在授权问题漏洞,该漏洞源于产品的import端点缺少授权保护。攻击者可通过该漏洞在DAG中添加或修改变量导致拒绝服务、信息泄露或代码执行。以下产品及版本受到影响:Apache Airflow 2.0.0 版本至 2.1.2版本。
Description
Apache Airflow Airflow >=2.0.0 and <2.1.3 does not protect the variable import endpoint which allows unauthenticated users to hit that endpoint to add/modify Airflow variables used in DAGs, potentially resulting in a denial of service, information disclosure or remote code execution.
文件快照
id: CVE-2021-38540
info:
name: Apache Airflow - Unauthenticated Variable Import
author: pdteam
...
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮件到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对 POC 代码进行快照,为了长期维护,请考虑为本地 POC 付费/捐赠,感谢您的支持。