中危 Apache Airflow 授权问题漏洞(CVE-2023-40273)

CVE编号

CVE-2023-40273

利用情况

暂无

补丁情况

官方补丁

披露时间

2023-08-24
漏洞描述
经过身份验证的用户在管理员重置用户密码后,仍然可以继续访问Airflow webserver,直到用户会话到期。除了手动清理会话数据库(对于数据库会话后端)或更改安全密钥并重新启动web服务器之外,没有其他机制来强制退出用户(和所有具有该会话的其他用户)。通过此修复,当使用数据库会话后端时,重置用户密码将使用户的现有会话失效。使用安全cookie会话后端时,会话不会失效,但仍然需要更改安全密钥并重新启动web服务器(并注销所有其他用户),但会向重置密码的用户显示UI中的快闪消息警告。文档也已更新以解释此行为。建议Apache Airflow的用户升级到2.7.0或更新的版本以减轻与此漏洞相关的风险。
解决建议
"将组件 apache-airflow 升级至 2.7.0 及以上版本"
参考链接
https://github.com/apache/airflow/pull/33347
https://lists.apache.org/thread/9rdmv8ln4y4ncbyrlmjrsj903x4l80nj
https://www.openwall.com/lists/oss-security/2023/08/23/1
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 apache airflow * Up to
(including)
2.7.0
阿里云评分
5.8
  • 攻击路径
    远程
  • 攻击复杂度
    复杂
  • 权限要求
    普通权限
  • 影响范围
    全局影响
  • EXP成熟度
    未验证
  • 补丁情况
    官方补丁
  • 数据保密性
    无影响
  • 数据完整性
    无影响
  • 服务器危害
    无影响
  • 全网数量
    N/A
CWE-ID 漏洞类型
CWE-384 会话固定
阿里云安全产品覆盖情况