基本信息

• 风险等级： 高危
• 漏洞类型： 错误会话漏洞
• 漏洞利用： 暂无
• 漏洞编号：CVE-2020-17526

漏洞描述

截止到2020年12月22日14点30分，监测到Apache官方邮件通告了Apache Airflow错误会话漏洞，漏洞编号为CVE-2020-17526。在具有默认配置的Apache Airflow Web服务器版中（版本号 < 1.10.14），不正确的会话验证会允许站点A上的airflow用户正常登录，从而通过站点A上的会话访问站点B上未经授权的Airflow Web服务器。漏洞不会影响已更改[webserver] “secret_key”配置默认值的用户。

影响范围

受影响版本

Apache Airflow Web < 1.10.14

安全版本

Apache Airflow Web >= 1.10.14

解决方案

修复建议

如果目前无法升级，若业务环境允许，使用白名单限制访问来降低风险，同时可参考如下修复建议进行漏洞修复。

1、更改“ [webserver] secret_key”配置的默认值。

2、建议受影响的用户升级到安全版本。

注：升级时建议备份数据，避免发生意外。

本作品采用《CC 协议》，转载必须注明作者和本文链接