发布日期：2021-05-01
更新日期：2021-06-29

受影响系统：

Apache Airflow 2.x
Apache Airflow 2.0.1
Apache Airflow 2.0.0
Apache Airflow 1.*< 1.10.15

描述：

---

CVE(CAN) ID: CVE-2021-28359

Apache Airflow是美国阿帕奇（Apache）基金会的一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。
Apache Airflow 1.10.15之前的1.x版本、2.0.0 版本、2.0.1版本和2.x版本存在跨站脚本漏洞。该漏洞源于程序未对“origin”参数中的用户输入进行正确过滤。攻击者可利用该漏洞欺骗受害用户点击特制链接并在用户浏览器中执行任意HTML和脚本代码。

<*来源：Vasileios Daskalakis
  *>

建议：

---

厂商补丁：

Apache
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://lists.apache.org/thread.html/ra8ce70088ba291f358e077cafdb14d174b7a1ce9a9d86d1b332d6367%40%3Cusers.airflow.apache.org%3E

浏览次数：1000
严重程度：0（网友投票）