One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8399454 |
| Date de publication | 2023-10-23 19:15:11 (vue: 2023-10-23 21:09:12) |
| Titre | CVE-2023-46288 |
| Texte | Exposition d'informations sensibles à une vulnérabilité d'acteur non autorisée dans le flux d'air d'Apache. Ce problème affecte le flux d'air Apache de 2.4.0 à 2.7.0.
Les informations de configuration sensibles ont été exposées à des utilisateurs authentifiés avec la possibilité de lire la configuration via Airflow REST REST pour la configuration même lorsque l'option Expose_Config & Acirc; & nbsp; est définie sur non sensible.L'option Expose_Config est fausse par défaut.Il est recommandé de passer à une version qui n'est pas affectée si vous définissez Expose_config & acirc; & nbsp; vers la configuration non sensible et acirc; & nbsp;Il s'agit d'une erreur différente de CVE-2023-45348 & acirc; & nbsp; qui permet à l'utilisateur authentifié de récupérer des valeurs de configuration individuelles en 2.7. * En fabriquant spécialement leur demande (résolu en 2.7.2).
Il est recommandé aux utilisateurs de passer à la version 2.7.2, ce qui résout le problème et corrige en outre & acirc; & nbsp; CVE-2023-45348.
Exposure of Sensitive Information to an Unauthorized Actor vulnerability in Apache Airflow.This issue affects Apache Airflow from 2.4.0 to 2.7.0. Sensitive configuration information has been exposed to authenticated users with the ability to read configuration via Airflow REST API for configuration even when the expose_config option is set to non-sensitive-only. The expose_config option is False by default. It is recommended to upgrade to a version that is not affected if you set expose_config to non-sensitive-only configuration. This is a different error than CVE-2023-45348 which allows authenticated user to retrieve individual configuration values in 2.7.* by specially crafting their request (solved in 2.7.2). Users are recommended to upgrade to version 2.7.2, which fixes the issue and additionally fixes CVE-2023-45348. |
| Envoyé | Oui |
| Condensat | 2023 45348 45348â which 46288 ability actor additionally affected affects airflow allows apache api are authenticated been config configuration configâ option configâ to crafting cve default different error even expose exposed exposure false fixes fixesâ cve from has individual information issue non not only onlyâ configuration option read recommended request rest retrieve sensitive set solved specially than unauthorized upgrade user users values version vulnerability when which |
| Tags | Vulnerability |
| Stories | |
| Notes | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.