Page 9 of 74 results (0.007 seconds)

CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0

CVE-2022-40754 – Open Redirect

https://notcve.org/view.php?id=CVE-2022-40754

In Apache Airflow 2.3.0 through 2.3.4, there was an open redirect in the webserver's `/confirm` endpoint. En Apache Airflow versiones 2.3.0 hasta 2.3.4, se presentaba un redireccionamiento abierto en el endpoint "/confirm" del servidor web • https://github.com/apache/airflow/pull/26409 https://lists.apache.org/thread/cn098dcp5x3c402xrb06p3l7nz5goffm • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •

CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0

CVE-2022-40604 – Format String Vulnerability

https://notcve.org/view.php?id=CVE-2022-40604

In Apache Airflow 2.3.0 through 2.3.4, part of a url was unnecessarily formatted, allowing for possible information extraction. En Apache Airflow versiones 2.3.0 hasta 2.3.4, parte de una url tenía un formato no necesario que permitía una posible extracción de información • https://github.com/apache/airflow/pull/26337 https://lists.apache.org/thread/z20x8m16fnhxdkoollv53w1ybsts687t • CWE-134: Use of Externally-Controlled Format String •

CVSS: 4.7EPSS: 0%CPEs: 1EXPL: 0

CVE-2022-38170 – Overly permissive umask for daemons

https://notcve.org/view.php?id=CVE-2022-38170

In Apache Airflow prior to 2.3.4, an insecure umask was configured for numerous Airflow components when running with the `--daemon` flag which could result in a race condition giving world-writable files in the Airflow home directory and allowing local users to expose arbitrary file contents via the webserver. En Apache Airflow versiones anteriores a 2.3.4, era configurado una máscara de usuario no segura para numerosos componentes de Airflow cuando es ejecutado con el flag "--daemon", lo que podía resultar en una condición de carrera que daba lugar a archivos de escritura mundial en el directorio principal de Airflow y permitía a usuarios locales exponer contenidos de archivos arbitrarios por medio del servidor web • http://www.openwall.com/lists/oss-security/2022/09/02/12 http://www.openwall.com/lists/oss-security/2022/09/02/3 http://www.openwall.com/lists/oss-security/2022/09/21/2 https://lists.apache.org/thread/zn8mbbb1j2od5nc9zhrvb7rpsrg1vvzv • CWE-732: Incorrect Permission Assignment for Critical Resource •

CVSS: 9.8EPSS: 6%CPEs: 1EXPL: 0

CVE-2022-38054 – Session Fixation

https://notcve.org/view.php?id=CVE-2022-38054

In Apache Airflow versions 2.2.4 through 2.3.3, the `database` webserver session backend was susceptible to session fixation. En Apache Airflow versiones 2.2.4 hasta 2.3.3, el backend de sesión del servidor web "database" era susceptible a una fijación de sesión • http://www.openwall.com/lists/oss-security/2022/09/02/1 https://lists.apache.org/thread/rsd3h89xdp16rg0ltovx3m7q3ypkxsbb • CWE-384: Session Fixation •

CVSS: 8.8EPSS: 94%CPEs: 1EXPL: 0

CVE-2022-24288 – Apache Airflow: RCE in example DAGs

https://notcve.org/view.php?id=CVE-2022-24288

In Apache Airflow, prior to version 2.2.4, some example DAGs did not properly sanitize user-provided params, making them susceptible to OS Command Injection from the web UI. En Apache Airflow, versiones anteriores a 2.2.4, algunos DAG de ejemplo no saneaban correctamente los parámetros proporcionados por el usuario, lo que los hacía susceptibles a inyección de comandos del Sistema Operativo desde la interfaz web. • https://lists.apache.org/thread/dbw5ozcmr0h0lhs0yjph7xdc64oht23t • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •