安全研究
安全漏洞
Apache Airflow跨站请求伪造和HTML注入漏洞(CVE-2019-0216/CVE-2019-0229)
发布日期:2019-06-21
更新日期:2019-06-21
受影响系统:Apache Apache Airflow 1.9
Apache Apache Airflow 1.8.2
Apache Apache Airflow 1.8
Apache Apache Airflow 1.7
Apache Apache Airflow 1.6
Apache Apache Airflow 1.5
Apache Apache Airflow 1.4
Apache Apache Airflow 1.3
Apache Apache Airflow 1.10.2
Apache Apache Airflow 1.10.1
Apache Apache Airflow 1.10
Apache Apache Airflow 0.5
描述:
BUGTRAQ ID:
107869
CVE(CAN) ID:
CVE-2019-0216/CVE-2019-0229
Apache Airflow(或简称Airflow)是一个以编程方式创作,安排和监控工作流的平台
CVE-2019-0216:恶意管理员用户可以编辑Airflow元数据数据库中的对象状态,以在某些页面视图上执行任意javascript。
CVE-2019-0229:Airflow网络服务器中的许多HTTP端点(RBAC和经典)都没有足够的保护,并且容易受到跨站点请求伪造攻击。
成功的漏洞将允许攻击者提供的HTML和脚本代码在受影响网站的上下文中运行,可能允许攻击者窃取基于cookie的认证证书或控制的网站是如何呈现给用户和执行某些未经授权的操作和访问受影响的应用程序。
<*来源:思科
*>
建议:
厂商补丁:
Apache
------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://syncope.apache.org/security.html浏览次数:11914
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障 |
