Podatność w Apache Airflow Providers Edge3 (wersje przed 2.0.0) umożliwia autorowi DAG wykonanie zdalnego kodu (RCE) w kontekście procesu webservera Airflow 2. Problem dotyczy wyłącznie instalacji, w których Edge3 provider był zainstalowany i skonfigurowany na Airflow 2.
▸ Pokaż oryginał (EN)
Edge3 Worker RPC RCE on Airflow 2. This issue affects Apache Airflow Providers Edge3: before 2.0.0 - and only if you installed and configured it on Airflow 2. The Edge3 provider support in Airflow 2 has been always development-only and not officially released, however if you installed and configured Edge3 provider in Airflow 2, it implicitly enabled non-public (normally) API which was used to test Edge Provider in Airflow 2 during the development. This API allowed Dag author to perform Remote Code Execution in the webserver context, which Dag Author was not supposed to be able to do. If you installed and configured Edge3 provider for Airflow 2, you should uninstall it and migrate to Airflow 3. The new Edge3 provider versions (>=2.0.0) has minimum version of Airflow set to 3 and the RCE-prone Airflow 2 code is removed, so it should no longer be possible to use the Edge3 provider 2.0.0+ on Airflow 2. If you used Edge Provider in Airflow 3, you are not affected.
Wsparcie dla Edge3 provider w Airflow 2 miało charakter wyłącznie deweloperski i nigdy nie zostało oficjalnie wydane. Instalacja i konfiguracja Edge3 provider na Airflow 2 powodowała jednak niejawne aktywowanie niepublicznego API, stworzonego wyłącznie na potrzeby testów w trakcie rozwoju. API to pozwalało autorowi DAG na wykonanie dowolnego kodu w kontekście procesu webservera Airflow 2 — czyli z uprawnieniami, których autor DAG normalnie nie powinien posiadać. W Airflow 3 podatny kod został usunięty, a wersje Edge3 provider >= 2.0.0 wymagają co najmniej Airflow 3.
Atakujący posiadający uprawnienia autora DAG może wykonać dowolny kod (RCE) w kontekście procesu webservera Airflow 2, co może prowadzić do pełnej kompromitacji poufności, integralności i dostępności systemu.
Należy odinstalować Edge3 provider z Airflow 2 i przeprowadzić migrację do Airflow 3. Wersje Edge3 provider >= 2.0.0 wymagają minimalnie Airflow 3 i nie zawierają podatnego kodu — nie jest jednak możliwe użycie Edge3 provider 2.0.0+ na Airflow 2. Jeśli migracja do Airflow 3 nie jest możliwa natychmiast, Edge3 provider powinien zostać niezwłocznie odinstalowany z Airflow 2.
Apache Airflow Providers Edge3 w wersjach przed 2.0.0, zainstalowany i skonfigurowany na Apache Airflow 2. Instalacje oparte na Airflow 3 nie są podatne.
Podatność dotyczy wyłącznie środowisk, w których Edge3 provider był świadomie zainstalowany i skonfigurowany na Airflow 2 — wsparcie dla tej konfiguracji nigdy nie było oficjalnie wydane i miało charakter wyłącznie deweloperski. Instalacje korzystające z Airflow 3 z Edge3 provider nie są podatne.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HApache Airflow Providers Edge3
APPApache< 2.0.0
Powiązane podatności
Apache Tomcat: Path Equivalence prowadzący do RCE i ujawnienia danych
Apache OFBiz — nieautoryzowane wykonanie kodu przez błędną autoryzację
Apache HTTP Server mod_rewrite — ujawnienie kodu i RCE poprzez błędne escapowanie
Path Traversal w Apache OFBiz umożliwiający zdalne wykonanie kodu
RCE w Apache HugeGraph-Server — zdalne wykonanie poleceń bez uwierzytelnienia