CRITICALCVE-2024-25141CVSS 9.1

apache airflow mongo हुक में अनुचित प्रमाणपत्र सत्यापन (Improper Certificate Validation in apache airflow mongo hook)

प्लेटफ़ॉर्म

python

घटक

apache-airflow-providers-mongo

में ठीक किया गया

4.0.0

AI Confidence: highNVDEPSS 0.1%समीक्षित: मई 2026

NVD पर देखें

सहेजें

आपकी भाषा में अनुवाद हो रहा है…

CVE-2024-25141 is a critical vulnerability affecting Apache Airflow Providers Mongo versions up to 4.0.0rc1. When SSL is enabled for the Mongo Hook, the default configuration inadvertently includes "allow_insecure", which disables certificate validation. This unexpected behavior exposes sensitive data transmitted to the MongoDB server.

Python

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।

requirements.txt अपलोड करेंसमर्थित प्रारूप: requirements.txt · Pipfile.lock

प्रभाव और हमले की स्थितियाँअनुवाद हो रहा है…

The primary impact of this vulnerability is the potential for man-in-the-middle (MITM) attacks. Because certificate validation is bypassed, an attacker can intercept and potentially modify data transmitted between Apache Airflow and the MongoDB server. This could lead to data breaches, unauthorized access to sensitive information, and even the injection of malicious code into the database. The blast radius extends to any data processed by Airflow that relies on the Mongo Hook, potentially impacting critical business operations and regulatory compliance.

शोषण संदर्भअनुवाद हो रहा है…

This vulnerability was publicly disclosed on 2024-02-20. While no active exploitation campaigns have been publicly reported, the critical CVSS score and the ease of exploitation (bypassing certificate validation) suggest a potential for exploitation. It is not currently listed on the CISA KEV catalog. Public proof-of-concept code is likely to emerge given the vulnerability's nature.

कौन जोखिम में हैअनुवाद हो रहा है…

Organizations using Apache Airflow to manage data pipelines and interacting with MongoDB databases are at risk, particularly those relying on the apache-airflow-providers-mongo package. Environments where SSL is enabled for Mongo connections without proper certificate validation are especially vulnerable. Shared hosting environments utilizing Airflow and MongoDB should be prioritized for remediation.

पहचान के चरणअनुवाद हो रहा है…

• python / airflow:

import airflow
from airflow.providers.mongo.hooks.mongo import MongoHook

# Check for allow_insecure setting in Airflow connections
for conn_id in airflow.configuration.get('connections'):
    hook = MongoHook(conn_id=conn_id)
    if hasattr(hook.conn, 'extra_defo'):
        if 'allow_insecure' in hook.conn.extra_defo and hook.conn.extra_defo['allow_insecure'] == True:
            print(f"VULNERABLE: Connection {conn_id} has allow_insecure enabled.")

हमले की समयरेखा

2024-02-20Disclosure
disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात

CISA KEVNO

इंटरनेट एक्सपोज़रउच्च

EPSS

0.07% (23% शतमक)

CVSS वेक्टर

इन मेट्रिक्स का क्या मतलब है?

Attack Vector: नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity: निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required: कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction: कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope: अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality: उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity: उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability: कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।

प्रभावित सॉफ्टवेयर

घटकapache-airflow-providers-mongo

विक्रेताosv

प्रभावित श्रेणीमें ठीक किया गया

1.0.0 – 4.0.04.0.0

—4.0.0

कमजोरी वर्गीकरण (CWE)

CWE-295

समयरेखा

आरक्षित2024-02-06
प्रकाशित2024-02-20
संशोधित2025-05-01
EPSS अद्यतन2026-04-02

प्रकाशन के -4 दिन बाद पैच

शमन और वर्कअराउंडअनुवाद हो रहा है…

The recommended mitigation is to upgrade to Apache Airflow Providers Mongo version 4.0.0, which resolves this issue. If upgrading is not immediately feasible, consider disabling SSL for the Mongo Hook connection. Alternatively, enforce certificate validation by explicitly configuring the sslcertfile and sslkeyfile parameters in your Airflow connection settings. Review Airflow connection configurations to ensure SSL is properly configured and certificate validation is enabled. After upgrade, confirm by verifying that the allow_insecure setting is no longer present in the Mongo Hook configuration.

कैसे ठीक करें

apache-airflow-providers-mongo पैकेज को संस्करण 4.0.0 या उच्चतर में अपडेट करें। यह SSL प्रमाणपत्रों के अनुचित सत्यापन को ठीक करता है। अपडेट करने के लिए `pip install --upgrade apache-airflow-providers-mongo` चलाएँ।

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवालअनुवाद हो रहा है…

What is CVE-2024-25141 — Insecure SSL in Apache Airflow Providers Mongo?

CVE-2024-25141 is a critical vulnerability in Apache Airflow Providers Mongo where enabling SSL without certificate validation allows for potential MITM attacks.

Am I affected by CVE-2024-25141 in Apache Airflow Providers Mongo?

You are affected if you use Apache Airflow Providers Mongo versions 4.0.0rc1 or earlier and have SSL enabled for your Mongo Hook connections.

How do I fix CVE-2024-25141 in Apache Airflow Providers Mongo?

Upgrade to Apache Airflow Providers Mongo version 4.0.0. Alternatively, disable SSL or enforce certificate validation in your Airflow connection settings.

Is CVE-2024-25141 being actively exploited?

No active exploitation campaigns have been publicly reported, but the critical severity suggests a potential for exploitation.

Where can I find the official Apache Airflow advisory for CVE-2024-25141?

Refer to the Apache Airflow security advisories: https://airflow.apache.org/docs/security

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करें CVE खोजें