В версиях Apache Airflow до 3.1.6 и 2.11.1 прокси-поля и прокси-поля в рамках подключения могут включать в себя URL-адреса прокси, содержащ…
В версиях Apache Airflow до 3.1.6 и 2.11.1 прокси-поля и прокси-поля в рамках подключения могут включать в себя URL-адреса прокси, содержащие встроенную информацию аутентификации. Эти поля не рассматривались как чувствительные по умолчанию и поэтому не были автоматически замаскированы в выпуске журнала. В результате, когда такие соединения отображаются или печатаются на бревнах, могут быть раскрыты прокси-серверные учетные данные, встроенные в эти поля. Пользователям рекомендуется обновиться до 3.1.6 или более поздних версий для Airflow 3 и 2.11.1 или более поздних версий для Airflow 2, который устраняет эту проблему.
Продукт записывает конфиденциальные сведения в файл журнала.
https://cwe.mitre.org/data/definitions/532.html →Открыть в коллекции CWE →Злоумышленник направляет случайные, некорректные или иным образом неожиданные сообщения целевому приложению и наблюдает за возвращаемыми журналами или сообщениями об ошибках приложения. Злоумышленник изначально не знает, как цель реагирует на отдельные сообщения, однако, перебирая большое количество вариантов сообщений, он может найти вариант, вызывающий желаемое поведение. В данной атаке целью фаззинга является наблюдение за журналом и сообщениями об ошибках приложения, хотя фаззинг цели иногда также может приводить к переходу цели в нестабильное состояние и её аварийному завершению.
https://capec.mitre.org/data/definitions/215.html →Открыть в коллекции CAPEC →