CVE-2022-38054

CRÍTIC: (9.1)

CVSS3: 7.9

Apache Airflow podria permetre a un atacant remot agafar la sessió d’un usuari, causat per un defecte de fixació de sessió en el backende de sessió del servidor web “database“. En enviar una sol·licitud especialment dissenyada, un atacant podria explotar aquesta vulnerabilitat per a obtenir accés a la sessió d’un altre usuari.

Sistemes Afectats

• Apache Airflow 2.2.4
• Apache Airflow 2.3.3

Remediació
Actualitzi a l’última versió d’Apache Airflow (2.3.4 o posterior), disponible en el lloc web d’Apache.

Referències

• https://seclists.org/oss-sec/2022/q3/168
• https://airflow.apache.org/
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-38054