Plateforme
python
Composant
apache-airflow
Corrigé dans
3.2.0
3.2.0
La vulnérabilité CVE-2025-54550 est une faille d'exécution de code à distance (RCE) affectant Apache Airflow dans les versions de 0.0.0 à 3.2.0. Elle découle d'un modèle de lecture non sécurisé des valeurs XCom dans les exemples de documentation, permettant à un utilisateur de l'interface utilisateur de modifier les XComs d'exécuter du code arbitraire sur le worker. La version 3.2.0 corrige cette vulnérabilité.
Un attaquant exploitant cette vulnérabilité pourrait exécuter du code arbitraire sur le worker d'Apache Airflow. Cela pourrait permettre de compromettre l'ensemble du système, d'accéder à des données sensibles ou de lancer d'autres attaques. La vulnérabilité est classée comme de faible gravité car elle nécessite que l'attaquant ait déjà accès à l'interface utilisateur et puisse modifier les XComs, ce qui implique un niveau de confiance déjà établi. Cependant, la possibilité d'exécution de code arbitraire reste un risque significatif, surtout si les exemples de configuration sont utilisés en production, ce qui est déconseillé.
Cette vulnérabilité a été divulguée publiquement le 2026-04-15. Bien qu'elle soit classée comme de faible gravité, la possibilité d'exécution de code arbitraire nécessite une attention particulière. Aucune preuve d'exploitation active n'a été rapportée à ce jour. La vulnérabilité n'a pas été ajoutée au catalogue KEV de CISA.
Organizations that have deployed Apache Airflow and are using or have previously used the example_xcom example in their custom DAGs are at risk. This includes teams that have copied and pasted code snippets from the Airflow documentation without proper security review. Shared hosting environments where multiple users have access to the Airflow UI are also particularly vulnerable.
• python / airflow: Inspect custom DAGs for instances of insecure XCom value reading patterns. Look for code that directly reads XCom values without proper sanitization or validation.
# Example of potentially vulnerable code
xcom_value = task_instance.xcom_pull(task_ids='upstream_task', key='my_key')
# ... use xcom_value without validation• python / airflow: Review Airflow worker logs for any unusual code execution or errors related to XCom processing. • python / airflow: Check Airflow UI user permissions to ensure that only authorized users have the ability to modify XComs.
disclosure
Statut de l'Exploit
EPSS
0.06% (percentile 18%)
La mitigation principale consiste à mettre à niveau Apache Airflow vers la version 3.2.0 ou supérieure, qui corrige la vulnérabilité. Si la mise à niveau n'est pas immédiatement possible, il est fortement recommandé de désactiver les exemples de configuration (example_dags) dans l'environnement Airflow. En outre, examinez attentivement le code personnalisé et les configurations pour identifier et corriger tout modèle de lecture non sécurisé des valeurs XCom. Surveillez les journaux d'accès et d'erreurs pour détecter toute activité suspecte liée à la manipulation des XComs.
Mettez à jour Apache Airflow à la version 3.2.0 ou ultérieure pour atténuer la vulnérabilité. Évitez de reproduire le schéma non sécurisé de lecture des valeurs de XCom dans vos implémentations, en suivant les recommandations de la documentation mise à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-54550 is a Remote Code Execution vulnerability affecting Apache Airflow versions 0.0.0–3.2.0. It allows an attacker with XCom modification access to execute arbitrary code on the worker nodes.
You are affected if you are using Apache Airflow versions 0.0.0 through 3.2.0 and have replicated the insecure XCom pattern from the example_xcom example in your custom DAGs.
Upgrade Apache Airflow to version 3.2.0 or later. Review and remediate any custom DAGs that use the vulnerable XCom pattern.
There is currently no evidence of active exploitation of CVE-2025-54550.
Refer to the Apache Airflow security advisories on the Apache project website for the latest information: https://airflow.apache.org/security/
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.