CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2019-0229
https://notcve.org/view.php?id=CVE-2019-0229
A number of HTTP endpoints in the Airflow webserver (both RBAC and classic) did not have adequate protection and were vulnerable to cross-site request forgery attacks. Varios endpoints HTTP en el webserver Airflow (tanto RBAC como clásico) no tenían la protección adecuada y eran vulnerables a los ataques de tipo cross-site request forgery (CSRF) • http://www.openwall.com/lists/oss-security/2019/04/10/6 http://www.securityfocus.com/bid/107869 https://lists.apache.org/thread.html/2de387213d45bc626d27554a1bde7b8c67d08720901f82a50b6f4231%40%3Cdev.airflow.apache.org%3E • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 0CVE-2018-20244
https://notcve.org/view.php?id=CVE-2018-20244
In Apache Airflow before 1.10.2, a malicious admin user could edit the state of objects in the Airflow metadata database to execute arbitrary javascript on certain page views. En Apache Airflow, en versiones anteriores a la 1.10.2, un administrador malicioso podría editar el estado de objetos en la base de datos de los metadatos de Airflow para ejecutar JavaScript arbitrario en determinadas vistas de páginas. • http://www.openwall.com/lists/oss-security/2019/04/10/6 https://lists.apache.org/thread.html/2de387213d45bc626d27554a1bde7b8c67d08720901f82a50b6f4231%40%3Cdev.airflow.apache.org%3E https://lists.apache.org/thread.html/f656fddf9c49293b3ec450437c46709eb01a12d1645136b2f1b8573b%40%3Cdev.airflow.apache.org%3E • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2017-17835
https://notcve.org/view.php?id=CVE-2017-17835
In Apache Airflow 1.8.2 and earlier, a CSRF vulnerability allowed for a remote command injection on a default install of Airflow. En Apache Airflow, en versiones 1.8.2 y anteriores, una vulnerabilidad de Cross-Site Request Forgery (CSRF) permitía la inyección remota de comandos en una instalación por defecto de Airflow. • https://lists.apache.org/thread.html/ade4d54ebf614f68dc81a08891755e60ea58ba88e0209233eeea5f57%40%3Cdev.airflow.apache.org%3E • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2018-20245
https://notcve.org/view.php?id=CVE-2018-20245
The LDAP auth backend (airflow.contrib.auth.backends.ldap_auth) prior to Apache Airflow 1.10.1 was misconfigured and contained improper checking of exceptions which disabled server certificate checking. El backend de autenticación LDAP (airflow.contrib.auth.backends.ldap_auth), en versiones anteriores a Apache Airflow 1.10.1, se configuró erróneamente y contenía una comprobación incorrecta de excepciones que deshabilitaban la comprobación de certificados del servidor. • https://lists.apache.org/thread.html/b549c7573b342a6e457e5a3225c33054244343927bbfb2a4cdc4cf73%40%3Cdev.airflow.apache.org%3E • CWE-295: Improper Certificate Validation •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2017-15720
https://notcve.org/view.php?id=CVE-2017-15720
In Apache Airflow 1.8.2 and earlier, an authenticated user can execute code remotely on the Airflow webserver by creating a special object. En Apache Airflow, en versiones 1.8.2 y anteriores, un usuario autenticado puede ejecutar código de forma remota en el servidor web de Airflow mediante la creación de un objeto especial. • https://lists.apache.org/thread.html/ade4d54ebf614f68dc81a08891755e60ea58ba88e0209233eeea5f57%40%3Cdev.airflow.apache.org%3E • CWE-20: Improper Input Validation •