CVE-2022-38170

MITJÀ: (5.5)

CVSS3: 4.8

Apache Airflow podria permetre a un atacant local autenticat obtenir informació delicada, causada per una condició de carrera quan s’executa amb la bandera “–deamon” amb una umask insegura configurada. Enviant una petició especialment dissenyada, un atacant podria explotar aquesta vulnerabilitat per aconseguir continguts d’arxius arbitraris, i utilitzar aquesta informació per llançar altres atacs contra el sistema afectat.

Sistemes Afectats

• Apache Airflow 2.3.3

Remediació
Actualitzi a l’última versió d’Apache Airflow (2.3.4 o posterior), disponible en el lloc web d’Apache.

Referències

• https://seclists.org/oss-sec/2022/q3/170
• https://airflow.apache.org/
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-38170