CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2023-42781 – Apache Airflow: Permission verification bypass allows viewing dagruns of other dags
https://notcve.org/view.php?id=CVE-2023-42781
Apache Airflow, versions before 2.7.3, has a vulnerability that allows an authorized user who has access to read specific DAGs only, to read information about task instances in other DAGs. This is a different issue than CVE-2023-42663 but leading to similar outcome. Users of Apache Airflow are advised to upgrade to version 2.7.3 or newer to mitigate the risk associated with this vulnerability. Apache Airflow, versiones anteriores a la 2.7.3, tiene una vulnerabilidad que permite a un usuario autorizado que tiene acceso para leer solo DAG específicos, leer información sobre instancias de tareas en otros DAG. Este es un problema diferente al CVE-2023-42663, pero conduce a un resultado similar. Se recomienda a los usuarios de Apache Airflow que actualicen a la versión 2.7.3 o posterior para mitigar el riesgo asociado con esta vulnerabilidad. • http://www.openwall.com/lists/oss-security/2023/11/12/2 https://github.com/apache/airflow/pull/34939 https://lists.apache.org/thread/7dnl8nszdxqyns57f3dw0sloy5dfl9o1 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2023-47037 – Apache Airflow missing fix for CVE-2023-40611 in 2.7.1 (DAG run broken access)
https://notcve.org/view.php?id=CVE-2023-47037
We failed to apply CVE-2023-40611 in 2.7.1 and this vulnerability was marked as fixed then. Apache Airflow, versions before 2.7.3, is affected by a vulnerability that allows authenticated and DAG-view authorized Users to modify some DAG run detail values when submitting notes. This could have them alter details such as configuration parameters, start date, etc. Users should upgrade to version 2.7.3 or later which has removed the vulnerability. No pudimos aplicar CVE-2023-40611 en 2.7.1 y esta vulnerabilidad se marcó como solucionada en ese momento. Apache Airflow, versiones anteriores a 2.7.3, se ve afectada por una vulnerabilidad que permite a los usuarios autenticados y autorizados para ver DAG modificar algunos valores de detalles de ejecución de DAG al enviar notas. Esto podría hacer que alteren detalles como los parámetros de configuración, la fecha de inicio, etc. • http://www.openwall.com/lists/oss-security/2023/11/12/1 https://github.com/apache/airflow/pull/33413 https://lists.apache.org/thread/04y4vrw1t2xl030gswtctc4nt1w90cb0 • CWE-863: Incorrect Authorization •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2023-42663 – Apache Airflow: Bypass permission verification to view task instances of other dags
https://notcve.org/view.php?id=CVE-2023-42663
Apache Airflow, versions before 2.7.2, has a vulnerability that allows an authorized user who has access to read specific DAGs only, to read information about task instances in other DAGs. Users of Apache Airflow are advised to upgrade to version 2.7.2 or newer to mitigate the risk associated with this vulnerability. Apache Airflow, en versiones anteriores a la 2.7.2, tiene una vulnerabilidad que permite a un usuario autorizado que tiene acceso para leer solo DAG específicos, leer información sobre instancias de tareas en otros DAG. Se recomienda a los usuarios de Apache Airflow que actualicen a la versión 2.7.2 o posterior para mitigar el riesgo asociado con esta vulnerabilidad. • http://www.openwall.com/lists/oss-security/2023/11/12/2 https://github.com/apache/airflow/pull/34315 https://lists.apache.org/thread/xj86cvfkxgd0cyqfmz6mh1bsfc61c6o9 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2023-42792 – Apache Airflow: Improper access control to DAG resources
https://notcve.org/view.php?id=CVE-2023-42792
Apache Airflow, in versions prior to 2.7.2, contains a security vulnerability that allows an authenticated user with limited access to some DAGs, to craft a request that could give the user write access to various DAG resources for DAGs that the user had no access to, thus, enabling the user to clear DAGs they shouldn't. Users of Apache Airflow are strongly advised to upgrade to version 2.7.2 or newer to mitigate the risk associated with this vulnerability. Apache Airflow, en versiones anteriores a la 2.7.2, contiene una vulnerabilidad de seguridad que permite a un usuario autenticado con acceso limitado a algunos DAG crear una solicitud que podría darle al usuario acceso de escritura a varios recursos de DAG para los DAG a los que el usuario no tenía acceso. para, por lo tanto, permitir al usuario borrar DAG que no debería. Se recomienda encarecidamente a los usuarios de Apache Airflow que actualicen a la versión 2.7.2 o posterior para mitigar el riesgo asociado con esta vulnerabilidad. • http://www.openwall.com/lists/oss-security/2023/12/21/1 https://github.com/apache/airflow/pull/34366 https://lists.apache.org/thread/1spbo9nkn49fc2hnxqm9tf6mgqwp9tjq • CWE-668: Exposure of Resource to Wrong Sphere •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2023-42780 – Apache Airflow: Improper access control vulnerability in the "List dag warnings" feature
https://notcve.org/view.php?id=CVE-2023-42780
Apache Airflow, versions prior to 2.7.2, contains a security vulnerability that allows authenticated users of Airflow to list warnings for all DAGs, even if the user had no permission to see those DAGs. It would reveal the dag_ids and the stack-traces of import errors for those DAGs with import errors. Users of Apache Airflow are advised to upgrade to version 2.7.2 or newer to mitigate the risk associated with this vulnerability. Apache Airflow, versiones anteriores a la 2.7.2, contiene una vulnerabilidad de seguridad que permite a los usuarios autenticados de Airflow enumerar advertencias para todos los DAG, incluso si el usuario no tenía permiso para ver esos DAG. Revelaría los dag_ids y los seguimientos de la pila de memoria de errores de importación para aquellos DAG con errores de importación. Se recomienda a los usuarios de Apache Airflow que actualicen a la versión 2.7.2 o posterior para mitigar el riesgo asociado con esta vulnerabilidad. • https://github.com/apache/airflow/pull/34355 https://lists.apache.org/thread/h5tvsvov8j55wojt5sojdprs05oby34d • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •