Informazioni sul CVE-2023-33234

Apache Airflow CNCF Kubernetes Provider: KubernetesPodOperator RCE via connection configuration

CWE ID: CWE-74

Base Score (CVSS): N/A

CVE: CVE-2023-33234

Descrizione: Arbitrary code execution in Apache Airflow CNCF Kubernetes provider version 5.0.0 allows user to change xcom sidecar image and resources via Airflow connection. In order to exploit this weakness, a user would already need elevated permissions (Op or Admin) to change the connection object in this manner. Operators should upgrade to provider version 7.0.0 which has removed the vulnerability.

Vettore di attacco

Punteggio CVSS

Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.

Punteggio Base (calcolato da AziendaSicura): 0.0 (None)

Riassunto: .

Dettaglio del Vettore

Metrica	Valore	Significato	Descrizione

Riferimenti esterni

https://lists.apache.org/thread/n1vpgl6h2qsdm52o9m2tx1oo86tl4gnq

Prodotti interessati

Apache Software Foundation – Apache Airflow CNCF Kubernetes Provider

Relazioni con altri prodotti

Produttore:Apache Software Foundation
Prodotto: Apache Airflow CNCF Kubernetes Provider
Anno: 2023
CWE: CWE-74
CVSS: 0.0

Ulteriori risorse disponibili

Vulnerabilità scoperte nello stesso anno (2023)