0x00 漏洞概述
CVE ID | CVE-2022-40754 | 發現時間 | 2022-09-21 |
類 型 | 開放重定向 | 等 級 | 高危 |
遠端利用 | 是 | 影響範圍 | |
攻擊複雜度 | 使用者互動 | ||
PoC/EXP | 在野利用 |
0x01 漏洞詳情
Apache Airflow 是一個能夠開發、排程和監控工作流的編排平臺。
9月20日,Apache發佈安全公告,修復了Apache Airflow中的一個開放重定向漏洞(CVE-2022-40754),該漏洞存在於在webserver的‘/confirm’端點中,影響了Apache Airflow 版本2.3.0 到 2.3.4。
此外,Apache還修復了Apache Airflow中的一個格式化字串漏洞(CVE-2022-40604),由於Apache Airflow中url的一部分被不必要地格式化,可能會導致資訊提取。
影響範圍
Apache Airflow 版本 2.3.0 – 2.3.4
0x02 安全建議
目前上述漏洞已經修復,受影響使用者可升級到:
Apache Airflow版本 >= 2.4.0
下載連結:
https://github.com/apache/airflow/releases
0x03 參考連結
https://www.mail-archive.com/announce@apache.org/msg07595.html
https://www.mail-archive.com/announce@apache.org/msg07594.html
https://github.com/apache/airflow/pull/26409
0x04 版本資訊
版本 | 日期 | 修改內容 |
V1.0 | 2022-09-21 | 首次發佈 |
