CVE-2024-45784：Apache Airflow 漏洞暴露日志中的敏感数据

文章预览

流行的工作流管理平台 Apache Airflow 中存在一个漏洞，可能会无意中暴露敏感配置数据，从而可能危及系统安全。 该漏洞编号为 CVE-2024-45784，CVSS 评分为 7.5（高严重性），影响 2.10.3 之前的所有 Airflow 版本。该漏洞源于平台默认未能屏蔽任务日志中的敏感配置值。 这种疏忽意味着有向无环图 (DAG) 作者可能会无意甚至有意地记录敏感信息，例如 API 密钥、数据库凭据或其他关键机密。如果未经授权的用户获得这些日志的访问权限，他们可以利用这些暴露的数据来破坏整个 Airflow 部署。 风险： 数据泄露：攻击者可以获取机密信息，包括客户数据、财务记录或专有代码。 系统入侵：暴露的凭证可能让攻击者获得关键系统和基础设施的控制权。 横向移动：攻击者可以利用受感染的系统来转移并访问网络的其他部分。 减轻： Apache Airflow 团队已在2.10.3版本 ………………………………