Page 9 of 73 results (0.007 seconds)

CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0

In Apache Airflow 2.3.0 through 2.3.4, part of a url was unnecessarily formatted, allowing for possible information extraction. En Apache Airflow versiones 2.3.0 hasta 2.3.4, parte de una url tenía un formato no necesario que permitía una posible extracción de información • https://github.com/apache/airflow/pull/26337 https://lists.apache.org/thread/z20x8m16fnhxdkoollv53w1ybsts687t • CWE-134: Use of Externally-Controlled Format String •

CVSS: 9.8EPSS: 6%CPEs: 1EXPL: 0

In Apache Airflow versions 2.2.4 through 2.3.3, the `database` webserver session backend was susceptible to session fixation. En Apache Airflow versiones 2.2.4 hasta 2.3.3, el backend de sesión del servidor web "database" era susceptible a una fijación de sesión • http://www.openwall.com/lists/oss-security/2022/09/02/1 https://lists.apache.org/thread/rsd3h89xdp16rg0ltovx3m7q3ypkxsbb • CWE-384: Session Fixation •

CVSS: 4.7EPSS: 0%CPEs: 1EXPL: 0

In Apache Airflow prior to 2.3.4, an insecure umask was configured for numerous Airflow components when running with the `--daemon` flag which could result in a race condition giving world-writable files in the Airflow home directory and allowing local users to expose arbitrary file contents via the webserver. En Apache Airflow versiones anteriores a 2.3.4, era configurado una máscara de usuario no segura para numerosos componentes de Airflow cuando es ejecutado con el flag "--daemon", lo que podía resultar en una condición de carrera que daba lugar a archivos de escritura mundial en el directorio principal de Airflow y permitía a usuarios locales exponer contenidos de archivos arbitrarios por medio del servidor web • http://www.openwall.com/lists/oss-security/2022/09/02/12 http://www.openwall.com/lists/oss-security/2022/09/02/3 http://www.openwall.com/lists/oss-security/2022/09/21/2 https://lists.apache.org/thread/zn8mbbb1j2od5nc9zhrvb7rpsrg1vvzv • CWE-732: Incorrect Permission Assignment for Critical Resource •

CVSS: 8.8EPSS: 94%CPEs: 1EXPL: 0

In Apache Airflow, prior to version 2.2.4, some example DAGs did not properly sanitize user-provided params, making them susceptible to OS Command Injection from the web UI. En Apache Airflow, versiones anteriores a 2.2.4, algunos DAG de ejemplo no saneaban correctamente los parámetros proporcionados por el usuario, lo que los hacía susceptibles a inyección de comandos del Sistema Operativo desde la interfaz web. • https://lists.apache.org/thread/dbw5ozcmr0h0lhs0yjph7xdc64oht23t • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •

CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0

It was discovered that the "Trigger DAG with config" screen was susceptible to XSS attacks via the `origin` query argument. This issue affects Apache Airflow versions 2.2.3 and below. Se ha detectado que la pantalla "Trigger DAG with config" era susceptible de ataques de tipo XSS por medio del argumento de consulta "origin". Este problema afecta a Apache Airflow versiones 2.2.3 y anteriores. • https://lists.apache.org/thread/phx76cgtmhwwdy780rvwhobx8qoy4bnk • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •