Se han identificado dos vulnerabilidades de severidad alta que afecta a Apache Airflow que permitirían la ejecución de código arbitrario.
Productos afectados
- Apache Airflow en versiones anteriores a la 2.10.1.
Impacto
Las vulnerabilidades de severidad alta se identifican como:
CVE-2024-45034: Con una puntuación de 8.8 que permite la ejecución de código arbitrario, lo que podría otorgar a un actor malicioso el control sobre el servidor afectado. Esto implicaría acceso no autorizado a información sensible, la alteración del flujo de trabajo de los DAGs y comprometer la disponibilidad de los servicios gestionados por Airflow.
CVE-2024-45498: Con una puntuación de 8.8. Esta vulnerabilidad podría permitir a un actor malicioso autenticado con solo permiso de activación del DAG ejecutar comandos arbitrarios, lo que puede provocar un acceso no autorizado y comprometer la implementación de Airflow.
Recomendación:
Actualizar a la última versión más reciente disponible del producto afectado desde la página web oficial del fabricante.
Referencias:
https://www.cve.org/CVERecord?id=CVE-2024-45498
https://lists.apache.org/thread/tl7lzczcqdmqj2pcpbvtjdpd2tb9561n
https://lists.apache.org/thread/b4fcw33vh60yfg9990n5vmc7sy2dcgjx
https://www.cve.org/CVERecord?id=CVE-2024-45034