← volver
CVE-2020-13927

CVE-2020-13927

CVSS 9.8 CRITICALEPSS 99.7%● KEVCWE-1056CWE-1188CWE-306
En resumen

La API Experimental de Apache Airflow aceptaba todas las solicitudes sin autenticación por defecto, permitiendo que cualquier persona con acceso a la red controlara flujos de trabajo y datos. Esto cambió en la versión 1.10.11 para denegar todas las solicitudes por defecto, pero las instalaciones existentes permanecen vulnerables sin configuración manual.

Detalle técnico

El endpoint de la API Experimental no requería autenticación por defecto (CWE-306), permitiendo que atacantes remotos no autenticados realizaran llamadas arbitrarias a la API sobre la red. La explotación requiere solo acceso de red a la instancia Airflow; la vulnerabilidad afecta a implementaciones anteriores a 1.10.11 y aquellas que no han configurado explícitamente el backend deny_all. El impacto incluye manipulación no autorizada de flujos de trabajo, exfiltración de datos y posible ejecución remota de código mediante cargas de DAG.

Resumen generado y traducido por IA a partir de la descripción oficial.
The previous default setting for Airflow's Experimental API was to allow all API requests without authentication, but this poses security risks to users who miss this fact. From Airflow 1.10.11 the default has been changed to deny all requests by default and is documented at https://airflow.apache.org/docs/1.10.11/security.html#api-authentication. Note this change fixes it for new installs but existing users need to change their config to default `[api]auth_backend = airflow.api.auth.backend.deny_all` as mentioned in the Updating Guide: https://github.com/apache/airflow/blob/1.10.11/UPDATING.md#experimental-api-will-deny-all-request-by-default
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
n/a · Apache Airflow
PoCs públicas encontradas3
cve_referencepacketstormsecurity.com/files/162908/Apache-Airflow-1.10.10-Remote-Code-Execution.htmlno verificadocve_referencepacketstormsecurity.com/files/174764/Apache-Airflow-1.10.10-Remote-Code-Execution.htmlno verificadoexploitdbwww.exploit-db.com/exploits/49927no verificado
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
http://packetstormsecurity.com/files/162908/Apache-Airflow-1.10.10-Remote-Code-Execution.htmlhttp://packetstormsecurity.com/files/174764/Apache-Airflow-1.10.10-Remote-Code-Execution.htmlhttps://lists.apache.org/thread.html/r23a81b247aa346ff193670be565b2b8ea4b17ddbc7a35fc099c1aadd%40%3Cdev.airflow.apache.org%3Ehttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2020-13927