Corrigée en avril dernier par Apache, la vulnérabilité CVE-2023-29247 (Stored XSS) répond toujours présente sur GCP et Azure. AWS vient tout juste de faire la mise à jour.
Apache Airflow, est une solution open-source permettant de créer, planifier et surveiller de manière programmable des flux de travail fait l’objet de toutes les attentions actuellement. L’équipe de recherche Ermetic, désormais intégrée à Tenable Research, a récemment découvert que les versions de la plateforme aux 12 millions de téléchargements mensuels présentes sur Amazon Web Services et Google Composer étaient vulnérables à la CVE-2023-29247 (Stored XSS). Une vulnérabilité avait déjà été signalée et corrigée par Apache en avril dernier. Microsoft Azure utilise également des instances d’Apache Airflow gérées vulnérables dans son service Data Factory. Bien que la version spécifique utilisée par Azure se soit avérée vulnérable, nous l’avons jugée non exploitable. L’équipe de recherche a confirmé la vulnérabilité ApatchMe en créant une preuve de concept personnalisée, puis a signalé la vulnérabilité à AWS et GCP. En réponse, AWS propose désormais une nouvelle version d’Apache Airflow sans vulnérabilité, et pour les versions non corrigées, a ajouté une CSP (Content Security Policy) comme dispositif de sécurité.
