正文

【高危漏洞】CVE-2023-40273-Apache Airflow会话固定

admin
admin V管理员 /0 评论 /76 阅读
0929
此篇文章发布距今已超过125天,您需要注意文章的内容或图片是否可用!

皓月当空,明镜高悬


文末有图片更好保存~

漏洞早知道

漏洞名称:CVE-2023-40273-Apache Airflow会话固定

漏洞出现时间:2023年8月24日

影响等级:高危

影响版本

  • <2. 7. 0

漏洞说明:

会话固定漏洞允许经过身份验证的用户在管理员重置用户密码后继续访问Airflow Web服务器,直到用户会话到期。除了手动清理会话数据库(用于数据库会话后端),或更改secure_key并重新启动Web服务器,没有强制用户(以及所有其他用户)注销的机制。在使用数据库会话后端时,使用此修复程序可在重置用户密码时使用户的现有会话失效。当使用securecookie会话后端时,会话并不会失效,仍然需要更改安全密钥并重新启动Web服务器(并注销所有其他用户),但是重置密码的用户会收到通知,并在UI中显示一条闪信警告。同时还会更新文档来解释此行为。建议Apache Airflow的用户升级到2. 7. 0或更高版本,以降低与此漏洞相关的风险。

利用方式:已公开。

修复方式:

  • 升级最新版本

相关链接:

  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-40273


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下