Tenable, le spécialiste de la gestion de l’exposition et du cyber risque, est revenu sur la découverte d’une vulnérabilité de type XSS dans les services Apache Airflow d’Amazon Web Services (AWS) et de Google Cloud Platform (GCP).

Liv Matan, Senior Security Researcher de Tenable Research, a découvert que ces services étaient vulnérables à la CVE-2023-29247 (Stored XSS). Cette vulnérabilité avait déjà été signalée et corrigée par Apache. Cependant, les services gérés fournis par AWS et GCP utilisaient une version obsolète et non corrigée. Cette faille persistante dans les instances concernées est un cross-site scripting (XSS) au niveau de la page de détails des tâches. Elle permettrait donc à un attaquant d’injecter un code malveillant sans que l’utilisateur ne s’en aperçoive.

L’équipe de recherche de Tenable a pu confirmer la vulnérabilité d’ApatchMe en construisant un PoC personnalisé et l’a ensuite signalé à AWS et GCP. AWS propose désormais une nouvelle version non vulnérable d’Apache Airflow et a intégré une Content Security Policy (CSP) pour les versions non corrigées. De son côté, GCP travaille sur la publication d’une nouvelle version non vulnérable.

En attendant, Tenable invite les organisations à faire preuve de prudence : « Les organisations doivent prendre des mesures concernant les instances Apache Airflow déjà déployées dans leurs services gérés AWS ou GCP car elles peuvent fonctionner via des images obsolètes (les instances Apache Airflow gérées par Azure sont également exposées mais la vulnérabilité n’est pas exploitable). Il est essentiel d’examiner et d’identifier ces déploiements vulnérables, car les instances peuvent rester exposées si elles ne sont pas mises à jour », explique Liv Matan, Senior Security Researcher chez Tenable Research.

Tenable a publié un article de blog détaillant l’historique complet de cette vulnérabilité.