CRITICAL🇬🇧 English

CVE-2024-42447

Apache Airflow Providers FAB — nieprawidłowe wygasanie sesji (CWE-613)

CVSS 9.8v3.1pub. 2024-08-05upd. 2025-03-19

Podatność w Apache Airflow Providers FAB powoduje, że użytkownik nie może skutecznie wylogować się z aplikacji. Sesja pozostaje aktywna mimo próby wylogowania, co może prowadzić do nieautoryzowanego przejęcia konta.

Pokaż oryginał (EN)

Insufficient Session Expiration vulnerability in Apache Airflow Providers FAB. This issue affects Apache Airflow Providers FAB: 1.2.1 (when used with Apache Airflow 2.9.3) and FAB 1.2.0 for all Airflow versions. The FAB provider prevented the user from logging out.   * FAB provider 1.2.1 only affected Airflow 2.9.3 (earlier and later versions of Airflow are not affected) * FAB provider 1.2.0 affected all versions of Airflow. Users who run Apache Airflow 2.9.3 are recommended to upgrade to Apache Airflow Providers FAB version 1.2.2 which fixes the issue. Users who run Any Apache Airflow version and have FAB provider 1.2.0 are recommended to upgrade to Apache Airflow Providers FAB version 1.2.2 which fixes the issue. Also upgrading Apache Airflow to latest version available is recommended. Note: Early version of Airflow reference container images of Airflow 2.9.3 and constraint files contained FAB provider 1.2.1 version, but this is fixed in updated versions of the images.  Users are advised to pull the latest Airflow images or reinstall FAB provider according to the current constraints.

🤖 Analiza AI
Jak działa

Błąd klasyfikowany jako CWE-613 (Insufficient Session Expiration) polega na tym, że provider FAB w wersjach 1.2.0 i 1.2.1 nieprawidłowo obsługuje proces zakończenia sesji użytkownika. W praktyce operacja wylogowania nie unieważnia tokenu sesji po stronie serwera. Wersja 1.2.1 dotyczy wyłącznie środowisk korzystających z Apache Airflow 2.9.3, natomiast wersja 1.2.0 jest podatna niezależnie od wersji Airflow. Wczesne obrazy kontenerowe Airflow 2.9.3 zawierały podatną wersję providera FAB 1.2.1.

Skutki

Atakujący, który wejdzie w posiadanie tokenu sesji zalogowanego użytkownika (np. poprzez przechwycenie ciasteczka), może utrzymać dostęp do interfejsu Airflow nawet po próbie wylogowania się przez prawowitego użytkownika, co grozi pełnym przejęciem konta i potencjalnym dostępem do zarządzania pipeline'ami danych.

Mitygacja

Należy zaktualizować Apache Airflow Providers FAB do wersji 1.2.2 lub nowszej, która rozwiązuje problem. Zaleca się również aktualizację Apache Airflow do najnowszej dostępnej wersji. Użytkownicy korzystający z obrazów kontenerowych powinni pobrać najnowsze obrazy Airflow lub ręcznie zaktualizować provider FAB zgodnie z aktualnymi plikami constraint.

Kogo dotyczy

Apache Airflow Providers FAB 1.2.0 (wszystkie wersje Apache Airflow) oraz Apache Airflow Providers FAB 1.2.1 (wyłącznie w połączeniu z Apache Airflow 2.9.3), w tym wczesne wersje obrazów kontenerowych Airflow 2.9.3 zawierające FAB provider 1.2.1

Uwagi

Wczesne obrazy kontenerowe Apache Airflow 2.9.3 zawierały podatną wersję FAB provider 1.2.1 — problem został naprawiony w zaktualizowanych wersjach obrazów. Użytkownicy korzystający z kontenerów powinni upewnić się, że używają zaktualizowanych obrazów.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Apache Airflow

    APP
    Apache
    2.9.3
  • Apache Airflow Providers Fab

    APP
    Apache
    1.2.01.2.1
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Container
CWE
Referencje

Powiązane podatności

CVE-2020-13927CRITICAL9.8⚠ KEVten sam produkt

The previous default setting for Airflow's Experimental API was to allow all API requests without authenticati...

CVE-2026-42252CRITICAL9.1PL ✓ten sam produkt

Apache Airflow: command injection przez niebezpieczny wzorzec w dokumentacji BashOperator

CVE-2025-57735CRITICAL9.1PL ✓ten sam produkt

Apache Airflow: brak unieważnienia tokenu JWT po wylogowaniu

CVE-2023-25754CRITICAL9.8ten sam produkt

Privilege Context Switching Error vulnerability in Apache Software Foundation Apache Airflow.This issue affect...

CVE-2023-22884CRITICAL9.8ten sam produkt

Improper Neutralization of Special Elements used in a Command ('Command Injection') vulnerability in Apache So...