【漏洞通告】Apache Airlfow Pig Provider命令注入漏洞(CVE-2022-40189)

0x00 漏洞概述

CVE ID

CVE-2022-40189

發現時間

2022-11-22

類 型

命令注入

等 級

中危

遠端利用

影響範圍

攻擊複雜度

使用者互動

PoC/EXP

在野利用

0x01 漏洞詳情

Apache Airflow 是一個能夠開發、排程和監控工作流的編排平臺。

11月21日,Apache發佈安全公告,修復了Apache Airflow Pig Provider中的一個命令注入漏洞(CVE-2022-40189)。

Apache Airflow Pig Provider中存在OS命令注入漏洞,可在無需對DAG檔案進行寫訪問的情況下導致遠端命令執行。

影響範圍

影響產品/元件

Pig Provider 版本

Apache Airflow版本(安裝了Pig Provider)

備註

影響範圍

Pig Provide < 4.0.0

Apache Airflow < 2.3.0

Pig Provider 4.0.0只能安裝在Airflow >= 2.3.0版本

0x02 安全建議

目前該漏洞已經修復,受影響的Apache Airflow 2.3.0及以上版本的使用者可安裝Pig Provider 4.0.0以修復此漏洞。

下載連結:

https://airflow.apache.org/docs/apache-airflow-providers-apache-pig/4.0.0/index.html

0x03 參考連結

https://www.mail-archive.com/announce@apache.org/msg07751.html

https://github.com/apache/airflow/pull/27644

0x04 版本資訊

版本

日期

修改內容

V1.0

2022-11-22

首次發佈

相關文章

【漏洞通告】F5 8月多個安全漏洞

【漏洞通告】F5 8月多個安全漏洞

0x00 漏洞概述 2022年8月3日,F5發佈安全公告,修復了其多個產品中的多個安全漏洞,這些漏洞可能導致資訊洩露、安全繞過、許可權提升和...