Apache Airflow代码注入漏洞

Apache Airflow代码注入漏洞

Apache Airflow是美国阿帕奇（Apache）基金会的一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。

一、漏洞分析

 公开日期：2022-11-21

 漏洞编号：CNVD-2022-78862/CVE-2022-40127

 危害等级：高危

 漏洞描述：Apache Airflow存在代码注入漏洞，该漏洞源于用户输入构造执行命令过程中，网络系统或产品未能正确过滤其中的特殊字符、命令等，具有UI访问权限的攻击者可利用该漏洞触发DAGs，通过手动提供run_id参数执行任意命令。

二、漏洞影响产品

Apache Apache Airflow <2.4.0

三、漏洞处置建议

厂商已发布了漏洞修复程序，请及时关注更新：

https://github.com/apache/airflow/pull/25960/