Apache Airflow 漏洞列表
共找到 16 个与 Apache Airflow 相关的漏洞
📅 加载漏洞趋势中...
-
CVE-2020-17526: Apache Airflow <1.10.14 - Authentication Bypass POC
Apache Airflow prior to 1.10.14 contains an authentication bypass vulnerability via incorrect session validation with default configuration. An attacker on site A can access unauthorized Airflow on site B through the site A session. FOFA: Apache Airflow -
CVE-2020-11978: Apache Airflow <=1.10.10 - Remote Code Execution POC
Apache Airflow versions 1.10.10 and below are vulnerable to remote code/command injection vulnerabilities in one of the example DAGs shipped with Airflow. This could allow any authenticated user to run arbitrary commands as the user running airflow worker/scheduler (depending on the executor in use). -
CVE-2020-17526: Apache Airflow <1.10.14 - Authentication Bypass POC
Apache Airflow prior to 1.10.14 contains an authentication bypass vulnerability via incorrect session validation with default configuration. An attacker on site A can access unauthorized Airflow on site B through the site A session. -
CVE-2021-38540: Apache Airflow - Unauthenticated Variable Import POC
Apache Airflow Airflow >=2.0.0 and <2.1.3 does not protect the variable import endpoint which allows unauthenticated users to hit that endpoint to add/modify Airflow variables used in DAGs, potentially resulting in a denial of service, information disclosure or remote code execution. -
CVE-2022-24288: Apache Airflow OS Command Injection POC
Apache Airflow prior to version 2.2.4 is vulnerable to OS command injection attacks because some example DAGs do not properly sanitize user-provided parameters, making them susceptible to OS Command Injection from the web UI. -
CVE-2020-11981: Apache Airflow <=1.10.10 - Command Injection POC
An issue was found in Apache Airflow versions 1.10.10 and below. When using CeleryExecutor, if an attacker can connect to the broker (Redis, RabbitMQ) directly, it is possible to inject commands, resulting in the celery worker running arbitrary commands. -
Apache Airflow session伪造漏洞 无POC
鉴权绕过漏洞是指攻击者通过某些手段绕过系统的正常权限验证机制,获取未授权的访问或执行权限。这种漏洞通常存在于身份验证、授权检查、权限控制等环节的不足或缺陷中,使得未经授权的用户能够访问或操作敏感数据、执行关键操作,甚至获取系统控制权。 -
Apache Airflow admin 未授权访问漏洞 (CVE-2020-17526) 无POC
攻击者可以创建与目标相同版本的本地安装,以管理员身份登录并将会话cookie重播到目标以在远程计算机上以管理员身份登录。 在这种情况下,可以使用工具来解密和识别明文 json 字符串,然后更新user_id参数并将 cookie 重新发送到服务器以模拟指定了user_id的用户。 -
Apache Airflow Experimental API身份验证绕过漏洞 无POC
Apache Airflow Experimental API存在身份验证绕过漏洞。此漏洞是由于对用户的请求缺乏校验导致的。 -
Apache Airflow CVE-2020-11978远程代码执行漏洞 无POC
Apache Airflow存在远程代码执行漏洞,此漏洞是缺乏验证导致的。 -
Apache Airflow CVE-2022-24288 命令注入漏洞 无POC
Apache Airflow存在命令注入漏洞,此漏洞是缺乏校验导致的。 -
Apache Airflow < 2.4.0 example dag 远程代码执行漏洞 无POC
Apache Airflow 是一个可编程,调度和监控的工作流平台,基于有向无环图(DAG),Airflow 可以定义一组有依赖的任务,按照依赖依次执行。 -
Apache Airflow 低于1.10.14身份认证绕过(CVE-2020-17526) 无POC
Apache Airflow Webserver1.10.14之前版本存在安全漏洞,该漏洞源于未能正确的会话验证,允许使用默认值密钥站点用户访问未经授权的通过会话从网站Site A 到 B。 -
Apache Airflow Docker Provider <3.0 example dag 远程代码执行漏洞 无POC
Apache Airflow Docker Provider 在 3.0 以下版本提供给的dag示例中存在远程代码执行漏洞,攻击者可利用其在Airflow worker上执行命令。 -
Apache Airflow 系统命令注入(CVE-2022-24288) 无POC
Apache 2.2.4版之前的版本容易受到OS命令注入攻击,因为一些示例DAG没有正确清理用户提供的参数,使它们容易受到来自web UI的OS命令注入的影响。 -
Apache Airflow 数据管道监控系统-未授权访问 无POC
【漏洞对象】Apache Airflow 数据管道监控系统 【漏洞描述】 Airflow允许工作流开发人员轻松创建、维护和周期性地调度运行工作流(即有向无环图或成为DAGs)的工具。在Airbnb中,这些工作流包括了如数据存储、增长分析、Email发送、A/B测试等等这些跨越多部门的用例。这个平台拥有和Hive、Presto、MySQL、HDFS、Postgres和S3交互的能力,并且提供了钩子使得系统拥有很好地扩展性。除了一个命令行界面,该工具还提供了一个基于Web的用户界面让您可以可视化管道的依赖关系、监控进度、触发任务等。