Plataforma
python
Componente
apache-airflow
Corregido en
2.1.3
2.1.3
CVE-2021-38540 es una vulnerabilidad de ejecución remota de código (RCE) presente en Apache Airflow. La falta de autenticación en el punto final de importación de variables permite a usuarios no autenticados modificar variables utilizadas en los DAGs, lo que puede resultar en denegación de servicio, divulgación de información o incluso la ejecución de código malicioso. Esta vulnerabilidad afecta a versiones de Apache Airflow desde 2.0.0 hasta, pero sin incluir, la versión 2.1.3. La solución es actualizar a la versión 2.1.3.
La gravedad de esta vulnerabilidad radica en la facilidad con la que un atacante puede explotarla. Al no requerir autenticación, cualquier usuario externo puede acceder al punto final de importación de variables. Esto permite la manipulación de variables de Airflow utilizadas en los DAGs, lo que puede llevar a una amplia gama de consecuencias. Un atacante podría inyectar código malicioso en las variables, que luego se ejecutaría como parte de la ejecución del DAG. Esto podría resultar en la ejecución de comandos arbitrarios en el servidor de Airflow, el acceso a datos sensibles almacenados en las variables, o la interrupción completa del flujo de trabajo de Airflow. La falta de autenticación la convierte en una vulnerabilidad de alta prioridad que requiere atención inmediata.
CVE-2021-38540 fue publicado el 24 de mayo de 2022. Aunque no se ha confirmado la explotación activa en entornos de producción, la facilidad de explotación y la gravedad de la vulnerabilidad la convierten en un objetivo atractivo para los atacantes. La vulnerabilidad se ha añadido al catálogo KEV de CISA, lo que indica una alta probabilidad de explotación. Se recomienda monitorear los sistemas de Airflow para detectar cualquier actividad sospechosa.
Organizations heavily reliant on Apache Airflow for orchestrating complex workflows are at significant risk. Specifically, deployments with publicly accessible Airflow instances or those lacking robust network segmentation are particularly vulnerable. Airflow installations using older versions (prior to 2.1.3) and those with limited security monitoring are also at heightened risk.
• python / airflow:
import requests
import json
url = "http://<airflow_host>/api/v1/variables/import"
headers = {'Content-Type': 'application/json'}
data = {'key': 'test_variable', 'value': 'malicious_code'}
try:
response = requests.post(url, headers=headers, data=json.dumps(data))
print(f"Response Status Code: {response.status_code}")
print(f"Response Content: {response.content}")
except requests.exceptions.RequestException as e:
print(f"Error: {e}")• linux / server: Monitor Airflow logs for unusual variable import activity or errors related to variable manipulation. Use journalctl -u airflow to filter for relevant log entries.
• generic web: Check Airflow server access logs for requests to /api/v1/variables/import originating from unexpected IP addresses or user agents.
disclosure
patch
Estado del Exploit
EPSS
91.78% (100% percentil)
Vector CVSS
La mitigación principal para CVE-2021-38540 es actualizar Apache Airflow a la versión 2.1.3 o superior. Si la actualización inmediata no es posible, se recomienda restringir el acceso al punto final de importación de variables a una red interna confiable. Implementar una solución de Web Application Firewall (WAF) puede ayudar a bloquear solicitudes maliciosas dirigidas a este punto final. Además, se debe revisar y auditar las variables de Airflow existentes para identificar y eliminar cualquier variable que pueda ser vulnerable a la inyección de código. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que el punto final de importación de variables requiere autenticación.
Actualice Apache Airflow a la versión 2.1.3 o superior. Esto corrige la falta de autenticación en el endpoint de importación de variables, previniendo el acceso no autorizado y posibles ataques. La actualización se puede realizar a través de pip o el método de instalación preferido.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2021-38540 es una vulnerabilidad de ejecución remota de código en Apache Airflow que permite a usuarios no autenticados modificar variables de DAGs, pudiendo causar DoS, divulgación de información o RCE.
Si está utilizando Apache Airflow en una versión entre 2.0.0 y 2.1.3rc1 (inclusive), es vulnerable a esta vulnerabilidad.
La solución es actualizar Apache Airflow a la versión 2.1.3 o superior. Si no puede actualizar inmediatamente, restrinja el acceso al punto final de importación de variables.
Aunque no se ha confirmado la explotación activa, la vulnerabilidad es de alta prioridad y se recomienda monitorear los sistemas de Airflow.
Puede encontrar la información oficial en el sitio web de Apache Airflow: https://airflow.apache.org/blog/2022/05/24/security-vulnerability-in-airflow/
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.