CVE-2024-45784

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2024-45784
Apache Airflow versions before 2.10.3 contain a vulnerability that could expose sensitive configuration variables in task logs. This vulnerability allows DAG authors to unintentionally or intentionally log sensitive configuration variables. Unauthorized users could access these logs, potentially exposing critical data that could be exploited to compromise the security of the Airflow deployment. In version 2.10.3, secrets are now masked in task logs to prevent sensitive configuration variables from being exposed in the logging output. Users should upgrade to Airflow 2.10.3 or the latest version to eliminate this vulnerability. If you suspect that DAG authors could have logged the secret values to the logs and that your logs are not additionally protected, it is also recommended that you update those secrets.

7.5 /10

CVSS v3 : HIGH

V3 Legend

Vector :

Exploitability : 3.9 / Impact : 3.6

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact NONE

Availability Impact NONE

Scope UNCHANGED

References
Link Resource
https://github.com/apache/airflow/pull/43040
https://lists.apache.org/thread/k2jm55jztlbmk4zrlh10syvq3n57hl4h
http://www.openwall.com/lists/oss-security/2024/11/15/1
Configurations

No configuration.

History

21 Nov 2024, 09:38

Type Values Removed Values Added
References
  • () http://www.openwall.com/lists/oss-security/2024/11/15/1 -

15 Nov 2024, 20:35

Type Values Removed Values Added
CVSS v2 : unknown
v3 : unknown 		v2 : unknown
v3 : 7.5

15 Nov 2024, 13:58

Type Values Removed Values Added
Summary
  • (es) Las versiones de Apache Airflow anteriores a la 2.10.3 contienen una vulnerabilidad que podría exponer variables de configuración confidenciales en los registros de tareas. Esta vulnerabilidad permite a los autores de DAG registrar variables de configuración confidenciales de forma intencional o no intencionada. Los usuarios no autorizados podrían acceder a estos registros, lo que podría exponer datos críticos que podrían explotarse para comprometer la seguridad de la implementación de Airflow. En la versión 2.10.3, los secretos ahora están enmascarados en los registros de tareas para evitar que las variables de configuración confidenciales se expongan en la salida del registro. Los usuarios deben actualizar a Airflow 2.10.3 o la versión más reciente para eliminar esta vulnerabilidad. Si sospecha que los autores de DAG podrían haber registrado los valores secretos en los registros y que sus registros no están protegidos adicionalmente, también se recomienda que actualice esos secretos.

15 Nov 2024, 09:15

Type Values Removed Values Added
New CVE
Information

Published : 2024-11-15 09:15

Updated : 2024-11-21 09:38

NVD link : CVE-2024-45784

Mitre link : CVE-2024-45784

CVE.ORG link : CVE-2024-45784

JSON object : View

Products Affected

No product.

CWE
CWE-1295

Debug Messages Revealing Unnecessary Information


NetmanageIT Website NetmanageIT OSINT Web NetmanageIT OpenCTI NetmanageIT PDF Tools NetmanageIT CTO Corner Blog NetmanageIT Email Header Analyzer NetmanageIT Password Pusher NetmanageIT Internet Health and Latency Dashboard NetmanageIT Dedicated Speed Test Site NetmanageIT Ubuntu Mirror 10Gbps Copyright OpenCVE 2024