Plattform
python
Komponente
apache-airflow
Behoben in
3.2.0
CVE-2026-30898 describes a privilege escalation vulnerability discovered in Apache Airflow. This issue arises from an insecure example provided in the Airflow documentation, which demonstrates a method of passing dag_run.conf in a way that allows unsanitized user input to be leveraged. This can lead to a UI user escalating their privileges and potentially executing code on worker nodes. The vulnerability affects versions 0.0.0 through 3.2.0, and a fix is available in version 3.2.0.
CVE-2026-30898 in Apache Airflow betrifft Implementierungen, die veraltete Beispiele in der Dokumentation verwenden, insbesondere im Zusammenhang mit der Verwendung von dag_run.conf mit dem BashOperator. Die vorherige Dokumentation schlug eine Methode zum Übergeben von Konfigurationen vor, die die Aufnahme von benutzerzuführten Daten ohne ordnungsgemäße Bereinigung ermöglichte. Dies könnte einem Angreifer mit UI-Benutzerrechten ermöglichen, beliebigen Code auf Airflow-Worker-Knoten auszuführen. Die Schwere dieses Problems liegt in der Möglichkeit einer Privilegienerweiterung und Remote-Code-Ausführung, wodurch die Integrität und Vertraulichkeit der von Airflow verarbeiteten Daten gefährdet werden. Es ist entscheidend, bestehende DAGs zu überprüfen, um alle Beispiele für dieses unsichere Konfigurationsmuster zu identifizieren und zu korrigieren.
Ein Angreifer könnte diese Schwachstelle ausnutzen, wenn er Zugriff auf die Airflow-UI hat und die Parameter von dagrun.conf manipulieren kann. Durch das Einfügen bösartiger Befehle in dagrun.conf könnte der Angreifer die Befehle beeinflussen, die vom BashOperator auf dem Worker-Knoten ausgeführt werden. Die Ausführung dieser Befehle könnte es dem Angreifer ermöglichen, sensible Dateien zu lesen, Daten zu ändern oder sogar beliebigen Code mit den Berechtigungen des Airflow-Benutzers auf dem Worker-Knoten auszuführen. Die Komplexität der Ausnutzung hängt vom Zugriff des Angreifers auf die UI und seiner Fähigkeit ab, die Parameter von dag_run.conf zu manipulieren.
Organizations using Apache Airflow for data orchestration and workflow management are at risk, particularly those relying on the default documentation examples. Environments with less stringent access controls and those that have adopted the insecure example without proper sanitization are at higher risk. Shared hosting environments utilizing Airflow also present a greater attack surface.
• python / airflow:
import airflow
# Check Airflow version
print(airflow.__version__)
# Review DAGs for insecure dag_run.conf usage
# (Manual code review required)• generic web:
curl -I http://<airflow_url>/ | grep 'Server: Apache Airflow'disclosure
Exploit-Status
EPSS
0.08% (23% Perzentil)
Die primäre Abhilfemaßnahme für CVE-2026-30898 ist das Upgrade von Apache Airflow auf Version 3.2.0 oder höher. Diese Version enthält Fixes, um die Schwachstelle zu verhindern. Darüber hinaus wird dringend empfohlen, alle bestehenden DAGs zu überprüfen, die den BashOperator verwenden und dagrun.conf manipulieren. Entfernen Sie jeglichen Code, der benutzerzuführte Daten ohne ordnungsgemäße Bereinigung direkt an Systembefehle übergibt. Implementieren Sie eine robuste Validierung und Maskierung aller Benutzereingaben, die in Systembefehlen verwendet werden. Erwägen Sie die Verwendung sichererer Alternativen für die Konfiguration, wie z. B. Umgebungsvariablen oder vordefinierte Konfigurationsdateien, anstatt sich auf dagrun.conf für benutzerzuführte Daten zu verlassen.
Actualice Apache Airflow a la versión 3.2.0 o superior para mitigar la vulnerabilidad de inyección de comandos. Revise las DAGs existentes para identificar y corregir cualquier uso incorrecto de `dag_run.conf` que pueda permitir la ejecución de código no autorizado.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Versionen vor 3.2.0 sind anfällig für diese Schwachstelle.
Überprüfen Sie Ihre DAGs auf BashOperator, die dag_run.conf verwenden, um benutzerzuführte Daten ohne Bereinigung zu übergeben.
Es gibt derzeit keine spezifischen automatisierten Tools für diese Schwachstelle, aber die manuelle Überprüfung der DAGs ist die zuverlässigste Methode.
Verwenden Sie Umgebungsvariablen, vordefinierte Konfigurationsdateien oder sichere Eingabeparameter, um Daten an Systembefehle zu übergeben.
Konsultieren Sie den Sicherheits-Advisory von Apache Airflow und die offizielle Dokumentation für weitere Details.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine requirements.txt-Datei hoch und wir sagen dir sofort, ob du betroffen bist.