CVE-2022-40954

CRÍTIC: (9.8)

CVSS3: 8.5

Apache Airflow Spark Provider i Apache Airflow podrien permetre a un atacant remot executar ordres arbitràries en el sistema, causat per una fallada d’injecció d’ordres en el context d’execució de tasques. En enviar una sol·licitud especialment dissenyada, un atacant podria explotar aquesta vulnerabilitat per a executar ordres arbitràries en el sistema.

Sistemes Afectats

• Apache Airflow 2.2.5
• Apache Airflow Spark Provider 3.0.0

Remediació
Consulti el repositori GIT d’Apache Airflow per a obtenir informació sobre actualitzacions o solucions suggerides.

Referències

• https://lists.apache.org/thread/0tmdlnmjs5t4gsx5fy73tb6zd3jztq45
• https://github.com/apache/airflow/pull/27646
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-40954