CVE-2023-35798

MITJÀ: (4,3)

CVSS3: 3,8

Apache Airflow ODBC Provider i MSSQL Provider podrien permetre a un atacant remot autenticat obtenir informació confidencial a causa d’una validació d’entrada incorrecta. En enviar una sol·licitud especialment dissenyada utilitzant get_sqlalchemy_connection, un atacant podria explotar aquesta vulnerabilitat per llegir arxius arbitraris i utilitzar aquesta informació per llançar altres atacs contra el sistema afectat.

Sistemes Afectats

• Apache Airflow ODBC Provider 3.3.0
• Apache Airflow MSSQL Provider 3.4.0

Remediació
Actualitzeu a l’última versió d’Apache Airflow ODBC Provider (4.0.0 o posterior), Apatxe Airflow MSSQL Provider (3.4.1 o posterior), disponible al lloc web d’Apache Airflow. Per més informació, podeu consultar l’apartat de les referències.

Referències

• https://seclists.org/oss-sec/2023/q2/282
• https://airflow.apache.org/
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-35798