Plataforma
python
Componente
apache-airflow
Corregido en
2.9.3
2.9.3
Se ha descubierto una vulnerabilidad de ejecución remota de código (RCE) en Apache Airflow, afectando a versiones 2.4.0 y anteriores a 2.9.3rc1. Esta falla permite a autores de DAG autenticados manipular el parámetro doc_md para ejecutar código arbitrario en el contexto del scheduler, contraviniendo el modelo de seguridad de Airflow. La actualización a la versión 2.9.3 o posterior soluciona esta vulnerabilidad.
La vulnerabilidad CVE-2024-39877 representa un riesgo significativo para las implementaciones de Apache Airflow. Un atacante con acceso de autor de DAG puede explotar esta falla para ejecutar código malicioso en el proceso del scheduler. Esto podría resultar en la toma de control completa del scheduler, permitiendo la ejecución de comandos arbitrarios en el servidor, el acceso a datos sensibles almacenados en Airflow (como credenciales de bases de datos o claves de API) y la manipulación de flujos de trabajo críticos. La capacidad de ejecutar código en el contexto del scheduler amplía significativamente el potencial de daño, ya que el scheduler tiene privilegios elevados dentro del entorno Airflow.
La vulnerabilidad fue publicada el 17 de julio de 2024. Actualmente no se ha reportado explotación activa en entornos de producción, pero la naturaleza de la vulnerabilidad (RCE) y la disponibilidad de la información la convierten en un objetivo atractivo para atacantes. Se recomienda monitorear de cerca los sistemas Airflow y aplicar las actualizaciones lo antes posible. No se ha añadido a la lista KEV de CISA al momento de esta redacción.
Organizations heavily reliant on Apache Airflow for data orchestration and ETL processes are at significant risk. Specifically, teams with less stringent access controls for DAG authors, or those using Airflow in environments with sensitive data, are particularly vulnerable. Shared hosting environments where multiple users can create and deploy DAGs also increase the risk surface.
• python: Monitor Airflow logs for unusual process executions or errors related to DAG parsing.
import logging
logging.basicConfig(filename='airflow.log', level=logging.ERROR)
# Monitor for suspicious code execution attempts• python: Check for modified DAG files with suspicious doc_md parameters.
# Example: Check for unusual characters in doc_md
with open('my_dag.py', 'r') as f:
content = f.read()
if 'doc_md=' in content:
print('Potential vulnerability: doc_md parameter found')• generic web: Examine Airflow web server access logs for requests containing unusual or encoded characters in the doc_md parameter. Look for patterns indicative of code injection attempts.
disclosure
Estado del Exploit
EPSS
0.10% (27% percentil)
Vector CVSS
La mitigación principal para CVE-2024-39877 es actualizar Apache Airflow a la versión 2.9.3 o posterior, donde la vulnerabilidad ha sido corregida. Si la actualización inmediata no es posible, se recomienda revisar cuidadosamente todos los DAGs existentes para identificar y eliminar cualquier manipulación maliciosa del parámetro docmd. Como medida temporal, se podría considerar la implementación de reglas en un proxy inverso o WAF para bloquear solicitudes con patrones sospechosos en el parámetro docmd. Después de la actualización, confirme la mitigación revisando los logs del scheduler en busca de intentos de explotación y verificando que los DAGs se ejecuten según lo esperado.
Actualice Apache Airflow a la versión 2.9.3 o posterior. Esta versión corrige la vulnerabilidad que permite la ejecución de código arbitrario. La actualización se puede realizar a través de pip o el método de instalación preferido.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-39877 is a remote code execution vulnerability in Apache Airflow versions 2.4.0 and earlier, up to 2.9.3rc1. It allows authenticated DAG authors to execute arbitrary code on the scheduler.
You are affected if you are running Apache Airflow versions 2.4.0 through 2.9.3rc1. Upgrade to 2.9.3 or later to mitigate the risk.
The recommended fix is to upgrade Apache Airflow to version 2.9.3 or later. As a temporary workaround, implement stricter input validation on the doc_md parameter.
While no active exploitation campaigns have been publicly confirmed, the vulnerability's severity and ease of exploitation suggest a high likelihood of future attacks.
Refer to the Apache Airflow security page for the latest information and advisory: https://airflow.apache.org/security
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.