Vulnerabilidad en Apache Airflow Celery y Apache Airflow (CVE-2023-46215)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-532
Exposición de información a través de archivos de log
Fecha de publicación:
28/10/2023
Última modificación:
13/02/2025
Descripción
Vulnerabilidad de inserción de información confidencial en un archivo de registro en el proveedor de Apache Airflow Celery, Apache Airflow. La información confidencial se registra como texto plano cuando los protocolos rediss, amqp y rpc se utilizan como backend de resultados de Celery. Nota: la vulnerabilidad se refiere a la información expuesta en los registros, no al acceso a los registros. Este problema afecta al proveedor Apache Airflow Celery: desde 3.3.0 hasta 3.4.0; Apache Airflow: desde 1.10.0 hasta 2.6.3. Se recomienda a los usuarios actualizar el proveedor Airflow Celery a la versión 3.4.1 y Apache Airlfow a la versión 2.7.0, que soluciona el problema.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:airflow:*:*:*:*:*:*:*:* | 1.10.0 (incluyendo) | 2.7.0 (excluyendo) |
| cpe:2.3:a:apache:airflow_celery_provider:*:*:*:*:*:*:*:* | 3.3.0 (incluyendo) | 3.4.0 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2023/10/28/1
- https://github.com/apache/airflow/pull/34954
- https://lists.apache.org/thread/wm1jfmks7r6m7bj0mq4lmw3998svn46n
- http://www.openwall.com/lists/oss-security/2023/10/28/1
- https://github.com/apache/airflow/pull/34954
- https://lists.apache.org/thread/wm1jfmks7r6m7bj0mq4lmw3998svn46n