Informazioni sul CVE-2024-50378

Apache Airflow: Secrets not masked in UI when sensitive variables are set via Airflow cli

CWE ID: CWE-201

Base Score (CVSS): N/A

CVE: CVE-2024-50378

Descrizione: Airflow versions before 2.10.3 have a vulnerability that allows authenticated users with audit log access to see sensitive values in audit logs which they should not see. When sensitive variables were set via airflow CLI, values of those variables appeared in the audit log and were stored unencrypted in the Airflow database. While this risk is limited to users with audit log access, it is recommended to upgrade to Airflow 2.10.3 or a later version, which addresses this issue. Users who previously used the CLI to set secret variables should manually delete entries with those variables from the log table.

Vettore di attacco

Punteggio CVSS

Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.

Punteggio Base (calcolato da AziendaSicura): 0.0 (None)

Riassunto: .

Dettaglio del Vettore

Metrica	Valore	Significato	Descrizione

Riferimenti esterni

Prodotti interessati

Apache Software Foundation – Apache Airflow

Relazioni con altri prodotti

Produttore:Apache Software Foundation
Prodotto: Apache Airflow
Anno: 2024
CWE: CWE-201
CVSS: 0.0

Ulteriori risorse disponibili

Vulnerabilità scoperte nello stesso anno (2024)