Apache Airflow 跨站脚本漏洞

CNNVD-ID编号	CNNVD-202105-003	CVE编号	CVE-2021-28359
发布时间	2021-05-02	更新时间	2021-05-06
漏洞类型	跨站脚本	漏洞来源	N/A
危险等级	中危	威胁类型	远程
厂商	N/A

漏洞介绍

Apache Airflow是美国阿帕奇（Apache）基金会的一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。 Apache Airflow 存在跨站脚本漏洞，该漏洞源于对origin参数中用户提供的数据没有进行充分的清理。以下产品及版本收到影响：Apache Airflow： 1.0.0, 1.0.1, 1.1.0, 1.1.1, 1.2.0, 1.3.0, 1.4.0, 1.4.1, 1.5.0, 1.5.1, 1.5.2, 1.6.0, 1.6.1, 1.6.2, 1.7.0, 1.7.1, 1.7.1.1, 1.7.1.2, 1.7.1.3, 1.8.0, 1.8.1, 1.8.2, 1.9.0, 1.10.0, 1.10.1, 1.10.2, 1.10.3, 1.10.4, 1.10.5, 1.10.6, 1.10.7, 1.10.8, 1.10.9, 1.10.10, 1.10.11, 1.10.12, 1.10.13, 1.10.14, 2.0.0, 2.0.1 。

漏洞补丁

目前厂商已发布升级了Apache Airflow 跨站脚本漏洞的补丁，Apache Airflow 跨站脚本漏洞的补丁获取链接： https://lists.apache.org/thread.html/ra8ce70088ba291f358e077cafdb14d174b7a1ce9a9d86d1b332d6367%40%3Cusers.airflow.apache.org%3E