随笔分类 - Vulhub漏洞学习 / airflow
摘要:Apache Airflow 默认密钥导致的权限绕过(CVE-2020-17526) Apache Airflow是一款开源的,分布式任务调度框架。默认情况下,Apache Airflow无需用户认证,但管理员也开源通过指定webserver.authenticate=True来开启认证。 在其1.
阅读全文
摘要:Apache Airflow Celery 消息中间件命令执行(CVE-2020-11981) Apache Airflow是一款开源的,分布式任务调度框架。在其1.10.10版本及以前,如果攻击者控制了Celery的消息中间件(如Redis/RabbitMQ),将可以通过控制消息,在Worker进
阅读全文
摘要:Apache Airflow 示例dag中的命令注入(CVE-2020-11978) Apache Airflow是一款开源的,分布式任务调度框架。在其1.10.10版本及以前的示例DAG中存在一处命令注入漏洞,未授权的访问者可以通过这个漏洞在Worker中执行任意命令。 漏洞复现 cd vulhu
阅读全文
