【漏洞通告】Apache Airflow Spark Provider反序列化漏洞(CVE-2023-40195)
日期:2023-09-01 10:41:50 发布人:信息化建设中心 浏览量:503
漏洞概要
|
漏洞名称 |
Apache Airflow Spark Provider反序列化漏洞(CVE-2023-40195) |
|
发布时间 |
2023年09月01日 |
|
组件名称 |
Apache Airflow |
|
影响范围 |
Apache-Airflow Spark Provider<4.1.3 |
|
漏洞类型 |
反序列化 |
|
利用条件 |
1、用户认证:不需要用户认证 2、前置条件:默认配置 3、触发方式:远程 |
|
综合评价 |
<综合评定利用难度>:容易,无需授权即可远程代码执行。 <综合评定威胁等级>:高危,能造成远程代码执行。 |
|
官方解决方案 |
已发布 |
漏洞分析
组件介绍
Apache Airflow是一个由社区创建的平台,用于以编程方式创作、安排和监控工作流程。Apache Airflow Spark Provider是项目中的一个插件,用于在Airflow中管理和调度Apache Spark作业。
漏洞描述
2023年9月01日,深信服安全团队监测到一则Apache Airflow组件存在反序列化漏洞的信息,漏洞编号:CVE-2023-40195,漏洞威胁等级:高危。
攻击者可以在未授权的情况下,构造反序列化利用链在Apache Airflow服务器上执行恶意代码,导致服务器失陷。
影响范围
Apache-Airflow Spark Provider<4.1.3
解决方案
官方修复建议
将组件Apache-Airflow Spark Provider升级到4.1.3或更高版本。