apache airflow 错误的会话验证漏洞
- cnnvd编号:未知
- 危害等级: 中危
- cve编号:未知
- 漏洞类型: cve-2020-17526
- 威胁类型:远程
- 厂 商:未知
- 漏洞来源:深信服
- 发布时间:2020-12-23
- 更新时间:2021-01-13
漏洞简介
1、apache airflow 介绍
airflow 是 airbnb 开源的一个用 python 编写的调度工具。于 2014 年启动,2015 年春季开源,2016 年加入 apache 软件基金会的孵化计划。airflow 通过 dag 也即是有向非循环图来定义整个工作流,因而具有非常强大的表达能力。
2、漏洞描述
apache 官方在2020年12月21日发布的邮件中披露apache airflow 存在一个由于错误处理会话验证导致的未授权访问漏洞。如果用户使用了默认的秘钥配置,攻击者就可以在其他的一个配置了默认秘钥的站点进行登录,接着以登录后的session信息直接未授权访问受害者站点。
漏洞公示
暂无
参考网站
受影响实体
目前受影响的apache airflow版本:
apache airflow web < 1.10.14
补丁
目前厂商已发布升级补丁修复漏洞,请受影响用户及时更新官方补丁。官方链接如下:
