Podatność w Apache Airflow Providers FAB powoduje, że użytkownik nie może skutecznie wylogować się z aplikacji. Sesja pozostaje aktywna mimo próby wylogowania, co może prowadzić do nieautoryzowanego przejęcia konta.
▸ Pokaż oryginał (EN)
Insufficient Session Expiration vulnerability in Apache Airflow Providers FAB. This issue affects Apache Airflow Providers FAB: 1.2.1 (when used with Apache Airflow 2.9.3) and FAB 1.2.0 for all Airflow versions. The FAB provider prevented the user from logging out. * FAB provider 1.2.1 only affected Airflow 2.9.3 (earlier and later versions of Airflow are not affected) * FAB provider 1.2.0 affected all versions of Airflow. Users who run Apache Airflow 2.9.3 are recommended to upgrade to Apache Airflow Providers FAB version 1.2.2 which fixes the issue. Users who run Any Apache Airflow version and have FAB provider 1.2.0 are recommended to upgrade to Apache Airflow Providers FAB version 1.2.2 which fixes the issue. Also upgrading Apache Airflow to latest version available is recommended. Note: Early version of Airflow reference container images of Airflow 2.9.3 and constraint files contained FAB provider 1.2.1 version, but this is fixed in updated versions of the images. Users are advised to pull the latest Airflow images or reinstall FAB provider according to the current constraints.
Błąd klasyfikowany jako CWE-613 (Insufficient Session Expiration) polega na tym, że provider FAB w wersjach 1.2.0 i 1.2.1 nieprawidłowo obsługuje proces zakończenia sesji użytkownika. W praktyce operacja wylogowania nie unieważnia tokenu sesji po stronie serwera. Wersja 1.2.1 dotyczy wyłącznie środowisk korzystających z Apache Airflow 2.9.3, natomiast wersja 1.2.0 jest podatna niezależnie od wersji Airflow. Wczesne obrazy kontenerowe Airflow 2.9.3 zawierały podatną wersję providera FAB 1.2.1.
Atakujący, który wejdzie w posiadanie tokenu sesji zalogowanego użytkownika (np. poprzez przechwycenie ciasteczka), może utrzymać dostęp do interfejsu Airflow nawet po próbie wylogowania się przez prawowitego użytkownika, co grozi pełnym przejęciem konta i potencjalnym dostępem do zarządzania pipeline'ami danych.
Należy zaktualizować Apache Airflow Providers FAB do wersji 1.2.2 lub nowszej, która rozwiązuje problem. Zaleca się również aktualizację Apache Airflow do najnowszej dostępnej wersji. Użytkownicy korzystający z obrazów kontenerowych powinni pobrać najnowsze obrazy Airflow lub ręcznie zaktualizować provider FAB zgodnie z aktualnymi plikami constraint.
Apache Airflow Providers FAB 1.2.0 (wszystkie wersje Apache Airflow) oraz Apache Airflow Providers FAB 1.2.1 (wyłącznie w połączeniu z Apache Airflow 2.9.3), w tym wczesne wersje obrazów kontenerowych Airflow 2.9.3 zawierające FAB provider 1.2.1
Wczesne obrazy kontenerowe Apache Airflow 2.9.3 zawierały podatną wersję FAB provider 1.2.1 — problem został naprawiony w zaktualizowanych wersjach obrazów. Użytkownicy korzystający z kontenerów powinni upewnić się, że używają zaktualizowanych obrazów.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HApache Airflow
APPApache2.9.3Apache Airflow Providers Fab
APPApache1.2.01.2.1
Powiązane podatności
The previous default setting for Airflow's Experimental API was to allow all API requests without authenticati...
Apache Airflow: command injection przez niebezpieczny wzorzec w dokumentacji BashOperator
Apache Airflow: brak unieważnienia tokenu JWT po wylogowaniu
Privilege Context Switching Error vulnerability in Apache Software Foundation Apache Airflow.This issue affect...
Improper Neutralization of Special Elements used in a Command ('Command Injection') vulnerability in Apache So...