Apache - CVE-2024-56373
Date de publication :
Apache Airflow est une plateforme d’orchestration de workflows (DAG) permettant de planifier, exécuter et superviser des tâches, avec une interface web et une base de données partagée.
Une vulnérabilité dans Apache Airflow 2, liée au mécanisme d’historique des modèles de logs (log template history) et à l’utilisation d’informations partagées via la base de données.
Un utilisateur disposant du rôle DAG Author peut manipuler des données en base afin d’injecter du contenu interprété lors de l’affichage d’informations historiques de tâches via l’interface web. Cette condition entraîne une injection côté serveur dans le contexte du serveur web Airflow lors du rendu des logs. Le scénario est conditionné par une interaction utilisateur (consultation des informations historiques).
Elle permet une exécution de code arbitraire (à distance).
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Oui
Exécution de code arbitraire (à distance)
Exploitation
CWE-94 : Improper Control of Generation of Code ('Code Injection')
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur à privilège
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Oui
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
Apache Airflow (apache-airflow) versions antérieures à 2.11.1