ГлавнаяБаза уязвимостей БДУ → BDU:2022-04640
6.3высокая

BDU:2022-04640 (CVE-2020-17526)

Уязвимость конфигурации установки по умолчанию «[webserver] secret_key» программного обеспечения создания, мониторинга и оркестрации сценариев обработки данных Airflow, позволяющая нарушителю получить несанкционированный доступ к постороннему веб-серверу
Опубликовано: 2022-07-27
Описание

Уязвимость конфигурации установки по умолчанию «[webserver] secret_key» программного обеспечения создания, мониторинга и оркестрации сценариев обработки данных Airflow связана с использованием предустановленных учетных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к постороннему веб-серверу

Затрагиваемое ПО и версии
Airflow (до 1.10.14)FortiAnalyzer (от 6.4.0 до 6.4.7 включительно)FortiAnalyzer (от 7.0.0 до 7.0.2 включительно)
Способ устранения

Использование рекомендаций:
Для Apache Airflow:
https://lists.apache.org/thread/rxn1y1f9fco3w983vk80ps6l32rzm6t0

Для программных продуктов Fortinet Inc. :
https://www.fortiguard.com/psirt/FG-IR-22-008

Компенсирующие меры:
- изменение значения по умолчанию для конфигурации «[webserver] secret_key» в файле airflow.cfg.

Оценка CVSS
Балл6.3 — высокая опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2020-17526https://lists.apache.org/thread/rxn1y1f9fco3w983vk80ps6l32rzm6t0https://www.fortiguard.com/psirt/FG-IR-22-008
Проверьте безопасность своего сайта и почты → Полная проверка домена