CVE-2024-45498

Example DAG: example_inlet_event_extra.py shipped with Apache Airflow version 2.10.0 has a vulnerability that allows an authenticated attacker with only DAG trigger permission to execute arbitrary commands. If you used that example as the base of your DAGs - please review if you have not copied the dangerous example; see https://github.com/apache/airflow/pull/41873  for more information. We recommend against exposing the example DAGs in your deployment. If you must expose the example DAGs, upgrade Airflow to version 2.10.1 or later.
Configurations

No configuration.

History

04 Nov 2024, 17:35

Type Values Removed Values Added
CVSS v2 : unknown
v3 : unknown
v2 : unknown
v3 : 8.8

09 Sep 2024, 13:03

Type Values Removed Values Added
Summary
  • (es) Ejemplo de DAG: example_inlet_event_extra.py incluido con Apache Airflow versión 2.10.0 tiene una vulnerabilidad que permite que un atacante autenticado con solo permiso de activación de DAG ejecute comandos arbitrarios. Si utilizó ese ejemplo como base de sus DAG, revise si no ha copiado el ejemplo peligroso; consulte https://github.com/apache/airflow/pull/41873 para obtener más información. Recomendamos no exponer los DAG de ejemplo en su implementación. Si debe exponer los DAG de ejemplo, actualice Airflow a la versión 2.10.1 o posterior.

07 Sep 2024, 08:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-09-07 08:15

Updated : 2024-11-04 17:35


NVD link : CVE-2024-45498

Mitre link : CVE-2024-45498

CVE.ORG link : CVE-2024-45498


JSON object : View

Products Affected

No product.

CWE
CWE-116

Improper Encoding or Escaping of Output