Plataforma
python
Componente
apache-airflow-providers-mongo
Corregido en
4.0.0
4.0.0
La vulnerabilidad CVE-2024-25141 afecta a la librería apache-airflow-providers-mongo en versiones anteriores o iguales a 4.0.0rc1. Esta falla permite la ejecución remota de código (RCE) si se habilita SSL en la conexión a MongoDB, ya que las configuraciones predeterminadas incluyen la opción 'allow_insecure', lo que impide la validación de certificados. Se recomienda encarecidamente actualizar a la versión 4.0.0 para solucionar este problema.
Un atacante que explote esta vulnerabilidad podría obtener acceso no autorizado a los datos almacenados en la base de datos MongoDB a la que se conecta Apache Airflow. La falta de validación de certificados SSL permite a un atacante interceptar y modificar el tráfico de red, inyectando código malicioso que se ejecutará en el servidor de Airflow con los privilegios del usuario que ejecuta el DAG. Esto podría resultar en la exfiltración de información sensible, la modificación de datos críticos o incluso el control total del sistema. La severidad crítica de esta vulnerabilidad se debe a la facilidad de explotación y el potencial impacto en la confidencialidad, integridad y disponibilidad de los datos.
Esta vulnerabilidad fue publicada el 20 de febrero de 2024. Actualmente no se ha añadido al KEV de CISA, pero la alta puntuación CVSS indica un riesgo significativo. No se han reportado públicamente exploits activos, pero la naturaleza de la vulnerabilidad (fácil de explotar y con alto impacto) sugiere que podría ser objeto de ataques en el futuro. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa.
Organizations using Apache Airflow to manage data pipelines and interacting with MongoDB databases are at risk, particularly those relying on the apache-airflow-providers-mongo package. Environments where SSL is enabled for Mongo connections without proper certificate validation are especially vulnerable. Shared hosting environments utilizing Airflow and MongoDB should be prioritized for remediation.
• python / airflow:
import airflow
from airflow.providers.mongo.hooks.mongo import MongoHook
# Check for allow_insecure setting in Airflow connections
for conn_id in airflow.configuration.get('connections'):
hook = MongoHook(conn_id=conn_id)
if hasattr(hook.conn, 'extra_defo'):
if 'allow_insecure' in hook.conn.extra_defo and hook.conn.extra_defo['allow_insecure'] == True:
print(f"VULNERABLE: Connection {conn_id} has allow_insecure enabled.")disclosure
Estado del Exploit
EPSS
0.07% (23% percentil)
Vector CVSS
La mitigación principal para CVE-2024-25141 es actualizar a la versión 4.0.0 de apache-airflow-providers-mongo. Si la actualización no es inmediatamente posible, se recomienda deshabilitar temporalmente la conexión SSL a MongoDB o, si esto no es factible, revisar y endurecer la configuración de SSL para asegurar que la validación de certificados esté habilitada y se utilicen certificados válidos. Monitorear los logs de Airflow en busca de conexiones sospechosas o errores relacionados con SSL puede ayudar a detectar intentos de explotación. Después de la actualización, confirme que la validación de certificados SSL está funcionando correctamente revisando los logs de conexión a MongoDB.
Actualice el paquete apache-airflow-providers-mongo a la versión 4.0.0 o superior. Esto corrige la validación incorrecta de certificados SSL. Ejecute `pip install --upgrade apache-airflow-providers-mongo` para actualizar.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-25141 is a critical vulnerability in Apache Airflow Providers Mongo where enabling SSL without certificate validation allows for potential MITM attacks.
You are affected if you use Apache Airflow Providers Mongo versions 4.0.0rc1 or earlier and have SSL enabled for your Mongo Hook connections.
Upgrade to Apache Airflow Providers Mongo version 4.0.0. Alternatively, disable SSL or enforce certificate validation in your Airflow connection settings.
No active exploitation campaigns have been publicly reported, but the critical severity suggests a potential for exploitation.
Refer to the Apache Airflow security advisories: https://airflow.apache.org/docs/security
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.