ГлавнаяБаза уязвимостей БДУ → BDU:2023-05809
5.1средняя

BDU:2023-05809

Уязвимость сетевого программного средства автоматизации процессов работы с данными в HDFS Apache Airflow HDFS Provider, связанная с включением функций из недостоверной контролируемой области, позволяющая нарушителю загружать произвольные пакеты
Опубликовано: 2023-09-19
Описание

Уязвимость сетевого программного средства автоматизации процессов работы с данными в HDFS Apache Airflow HDFS Provider связана с включением функций из недостоверной контролируемой области при обработке имен пакетов PyPI. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, загружать произвольные пакеты

Затрагиваемое ПО и версии
Airflow HDFS Provider (до 4.1.1)
Способ устранения

Использование рекомендаций:
https://lists.apache.org/thread/ggthr5pn42bn6wcr25hxnykjzh4ntw7z
https://github.com/apache/airflow/commit/dfa70b942348ba51be7594499ff54030375e4d89
https://github.com/apache/airflow/pull/33813
https://airflow.apache.org/docs/apache-airflow-providers-apache-hdfs/4.1.1/index.html

Оценка CVSS
Балл5.1 — средняя опасность
Источники и патчи
http://www.openwall.com/lists/oss-security/2023/09/14/3https://github.com/apache/airflow/pull/33813https://lists.apache.org/thread/ggthr5pn42bn6wcr25hxnykjzh4ntw7z
Проверьте безопасность своего сайта и почты → Полная проверка домена