安全研究员披露AWS Apache Airflow漏洞细节，可导致账户接管

上周四，Tenable Research的安全研究员发布了一篇博客文章，上面披露了亚马逊云服务（AWS）Apache Airflow的一个安全漏洞细节。这一漏洞可能被黑客利用来劫持受害者会话、实施远程代码执行攻击等。这个漏洞名为“FlowFixation”，现已被AWS修复，由于这是一个云漏洞，不需用户另外采取任何措施。该漏洞存在于AWS工作流编排工具Managed Workflows for Apache Airflow (MWAA)中，漏洞源自AWS MWAA的Web管理面板上的会话固定、AWS服务器的错误配置，可能导致one-click会话劫持。攻击者会先在自己的AWS服务器上托管恶意代码，然后诱使受害者访问自己的服务器，触发托管脚本将带有攻击者会话ID的cookie插入受害者的浏览器。以此获取到对受害者的网络面板的访问权限后，攻击者就能够查看潜在敏感的工作流数据，实施远程代码执行（RCE）攻击，并可能在其他服务之间实现横 ………………………………