中危 Apache Airflow SMTP/IMAP 客户端存在 MITM 漏洞(CVE-2023-39441)
CVE编号
CVE-2023-39441利用情况
暂无补丁情况
官方补丁披露时间
2023-08-24漏洞描述
Apache Airflow 是一个开源的任务调度和工作流自动化平台,SMTP 和 IMAP 客户端组件用于与电子邮件服务器进行通信。 Apache Airflow 2.7.0之前版本、Apache Airflow SMTP 1.3.0之前版本以及 Apache Airflow IMAP 3.3.0之前版本由于未检查服务器的 X.509 证书,攻击者可通过伪造的 SSL 证书进行中间人攻击,获取邮件服务器凭据或邮件内容。解决建议
"升级apache-airflow到 2.7.0 或更高版本""升级apache-airflow-providers-smtp到 1.3.0 或更高版本""升级apache-airflow-providers-imap到 3.3.0 或更高版本"受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | apache | airflow | * | Up to (excluding) 2.7.0 | |||||
| 运行在以下环境 | |||||||||
| 应用 | apache | apache-airflow-providers-imap | * | Up to (excluding) 3.3.0 | |||||
| 运行在以下环境 | |||||||||
| 应用 | apache | apache-airflow-providers-smtp | * | Up to (excluding) 1.3.0 | |||||
- 攻击路径 本地
- 攻击复杂度 困难
- 权限要求 管控权限
- 影响范围 有限影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 无影响
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 N/A
| CWE-ID | 漏洞类型 |
| CWE-295 | 证书验证不恰当 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论