The previous default setting for Airflow's Experimental API was to allow all API requests without authentication, but this poses security risks to users who miss this fact. From Airflow 1.10.11 the default has been changed to deny all requests by default and is documented at https://airflow.apache.org/docs/1.10.11/security.html#api-authentication. Note this change fixes it for new installs but existing users need to change their config to default `[api]auth_backend = airflow.api.auth.backend.deny_all` as mentioned in the Updating Guide: https://github.com/apache/airflow/blob/1.10.11/UPDATING.md#experimental-api-will-deny-all-request-by-default
oryginał ENCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HApache Airflow
APPApache< 1.10.11
CISA KEV — szczegółyi
- Dostawcai
- Apache ↗
- Produkti
- Airflow's Experimental API
- Data dodania do KEVi
- 18 stycznia 2022
- Termin remediation (USA)i
- 18 lipca 2022(po terminie)
Zastosuj aktualizacje zgodnie z instrukcjami producenta.
▸ Pokaż oryginał (EN)
Apply updates per vendor instructions.
Poprzednia domyślna konfiguracja Experimental API Airflow'a zezwalała na wszystkie żądania API bez uwierzytelniania.
▸ Pokaż oryginał (EN)
The previous default setting for Airflow's Experimental API was to allow all API requests without authentication.
Powiązane podatności
Apache Airflow: command injection przez niebezpieczny wzorzec w dokumentacji BashOperator
Apache Airflow: brak unieważnienia tokenu JWT po wylogowaniu
Apache Airflow Providers FAB — nieprawidłowe wygasanie sesji (CWE-613)
Privilege Context Switching Error vulnerability in Apache Software Foundation Apache Airflow.This issue affect...
Improper Neutralization of Special Elements used in a Command ('Command Injection') vulnerability in Apache So...