CVE-2021-28359
| Summary |
The "origin" parameter passed to some of the endpoints like '/trigger' was vulnerable to XSS exploit. This issue affects Apache Airflow versions <1.10.15 in 1.x series and affects 2.0.0 and 2.0.1 and 2.x series. This is the same as CVE-2020-13944 & CVE-2020-17515 but the implemented fix did not fix the issue completely. Update to Airflow 1.10.15 or 2.0.2. Please also update your Python version to the latest available PATCH releases of the installed MINOR versions, example update to Python 3.6.13 if you are on Python 3.6. (Those contain the fix for CVE-2021-23336 https://nvd.nist.gov/vuln/detail/CVE-2021-23336).
|
| Publication Date |
May 2, 2021, 5:15 p.m. |
| Registration Date |
May 2, 2021, 8:02 p.m. |
| Last Update |
Nov. 21, 2024, 2:59 p.m. |
|
CVSS3.1 : MEDIUM
|
| スコア |
6.1
|
| Vector |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
| 攻撃元区分(AV) |
ネットワーク |
| 攻撃条件の複雑さ(AC) |
低 |
| 攻撃に必要な特権レベル(PR) |
不要 |
| 利用者の関与(UI) |
要 |
| 影響の想定範囲(S) |
変更あり |
| 機密性への影響(C) |
低 |
| 完全性への影響(I) |
低 |
| 可用性への影響(A) |
なし |
|
CVSS2.0 : MEDIUM
|
| Score |
4.3
|
| Vector |
AV:N/AC:M/Au:N/C:N/I:P/A:N |
| 攻撃元区分(AV) |
ネットワーク |
| 攻撃条件の複雑さ(AC) |
中 |
| 攻撃前の認証要否(Au) |
不要 |
| 機密性への影響(C) |
なし |
| 完全性への影響(I) |
低 |
| 可用性への影響(A) |
なし |
| Get all privileges. |
いいえ
|
| Get user privileges |
いいえ
|
| Get other privileges |
いいえ
|
| User operation required |
はい
|
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:apache:airflow:*:*:*:*:*:*:*:* |
2.0.0 |
|
|
2.0.2 |
| cpe:2.3:a:apache:airflow:*:*:*:*:*:*:*:* |
1.0.0 |
|
|
1.10.15 |
Related information, measures and tools
Common Vulnerabilities List
JVN Vulnerability Information
Apache Airflow におけるクロスサイトスクリプティングの脆弱性
| Title |
Apache Airflow におけるクロスサイトスクリプティングの脆弱性
|
| Summary |
Apache Airflow には、クロスサイトスクリプティングの脆弱性が存在します。 本脆弱性は、CVE-2020-13944 および CVE-2020-17515 と同様の脆弱性です。 本脆弱性は、CVE-2021-23336 と関連する脆弱性です。
|
| Possible impacts |
情報を取得される、および情報を改ざんされる可能性があります。 |
| Solution |
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
May 2, 2021, midnight |
| Registration Date |
Jan. 5, 2022, 12:25 p.m. |
| Last Update |
Jan. 5, 2022, 12:25 p.m. |
Affected System
| Apache Software Foundation |
|
Apache Airflow 1.10.15 未満の 1.x
|
|
Apache Airflow 2.0.0
|
|
Apache Airflow 2.0.1
|
|
Apache Airflow 2.x
|
| Python Software Foundation |
|
Python
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2022年01月05日]
掲載 |
Jan. 5, 2022, 12:25 p.m. |