CVE-2019-12398
https://notcve.org/view.php?id=CVE-2019-12398
In Apache Airflow before 1.10.5 when running with the "classic" UI, a malicious admin user could edit the state of objects in the Airflow metadata database to execute arbitrary javascript on certain page views. The new "RBAC" UI is unaffected. En Apache Airflow versiones anteriores a 1.10.5, cuando se ejecuta con la interfaz de usuario "clasic", un usuario administrador malicioso podía editar el estado de los objetos en la base de datos de metadatos de Airflow para ejecutar javascript arbitrario en determinadas vistas de página. La nueva Interfaz de Usuario "RBAC" no está afectada. • http://www.openwall.com/lists/oss-security/2020/01/14/2 https://lists.apache.org/thread.html/r72487ad6b23d18689896962782f8c93032afe5c72a6bfd23b253352b%40%3Cdev.airflow.apache.org%3E https://lists.apache.org/thread.html/r72487ad6b23d18689896962782f8c93032afe5c72a6bfd23b253352b%40%3Cusers.airflow.apache.org%3E • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2019-12417
https://notcve.org/view.php?id=CVE-2019-12417
A malicious admin user could edit the state of objects in the Airflow metadata database to execute arbitrary javascript on certain page views. This also presented a Local File Disclosure vulnerability to any file readable by the webserver process. Un usuario administrador malicioso podría editar el estado de los objetos en la base de datos de metadatos de Airflow para ejecutar JavaScript arbitrario en determinadas vistas de página. Esto también presentó una vulnerabilidad de Divulgación de Archivos Local en cualquier archivo legible por el proceso del servidor web. • https://lists.apache.org/thread.html/f3aa5ff9c7cdb5424b6463c9013f6cf5db83d26c66ea77130cbbe1bc%40%3Cusers.airflow.apache.org%3E • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2019-0216
https://notcve.org/view.php?id=CVE-2019-0216
A malicious admin user could edit the state of objects in the Airflow metadata database to execute arbitrary javascript on certain page views. Un usuario administrador malicioso podría editar el estado de los objetos en la base de datos metadata de Airflow para ejecutar JavaScript arbitrario en determinadas vistas de páginas. • http://www.openwall.com/lists/oss-security/2019/04/10/6 http://www.securityfocus.com/bid/107869 https://lists.apache.org/thread.html/2de387213d45bc626d27554a1bde7b8c67d08720901f82a50b6f4231%40%3Cdev.airflow.apache.org%3E • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2019-0229
https://notcve.org/view.php?id=CVE-2019-0229
A number of HTTP endpoints in the Airflow webserver (both RBAC and classic) did not have adequate protection and were vulnerable to cross-site request forgery attacks. Varios endpoints HTTP en el webserver Airflow (tanto RBAC como clásico) no tenían la protección adecuada y eran vulnerables a los ataques de tipo cross-site request forgery (CSRF) • http://www.openwall.com/lists/oss-security/2019/04/10/6 http://www.securityfocus.com/bid/107869 https://lists.apache.org/thread.html/2de387213d45bc626d27554a1bde7b8c67d08720901f82a50b6f4231%40%3Cdev.airflow.apache.org%3E • CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2018-20244
https://notcve.org/view.php?id=CVE-2018-20244
In Apache Airflow before 1.10.2, a malicious admin user could edit the state of objects in the Airflow metadata database to execute arbitrary javascript on certain page views. En Apache Airflow, en versiones anteriores a la 1.10.2, un administrador malicioso podría editar el estado de objetos en la base de datos de los metadatos de Airflow para ejecutar JavaScript arbitrario en determinadas vistas de páginas. • http://www.openwall.com/lists/oss-security/2019/04/10/6 https://lists.apache.org/thread.html/2de387213d45bc626d27554a1bde7b8c67d08720901f82a50b6f4231%40%3Cdev.airflow.apache.org%3E https://lists.apache.org/thread.html/f656fddf9c49293b3ec450437c46709eb01a12d1645136b2f1b8573b%40%3Cdev.airflow.apache.org%3E • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •