CVE-2020-17526

vulhub中Apache Airflow 默认密钥导致的权限绕过(CVE-2020-17526

ApacheAirflow是一款开源的,分布式任务调度框架。默认情况下,ApacheAirflow无需用户认证,但管理员也可以通过指定`webserver.authenticate=True`来开启认证。在其1.10.13版本及以前,即使开启了认证,攻击者也可以通过一个默认密钥来绕过登录,伪造任意用户。1.访问登录页面,服务器会返回一个签名后的Cookie:curl-vhttp://localho
余生有个小酒馆·2024-02-04 07:41

漏洞复现----49、Apache Airflow 身份验证绕过 (CVE-2020-17526)

文章目录一、ApacheAirflow简介二、漏洞成因三、漏洞复现一、ApacheAirflow简介ApacheAirflow是python语言编写的一个以编程方式创作、安排和监控工作流程的平台。除了几个服务器端python脚本之外,它还有一个基于Flask编写的Web应用程序,该Web应用程序使用Flask的无状态签名cookie来存储和管理成功的身份验证。在安装过程中,可以使用Airflow命
七天啊·2023-01-07 07:55
上一页 1 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他