Plateforme
python
Composant
apache-airflow
Corrigé dans
3.2.0
3.2.0
Une vulnérabilité a été découverte dans Apache Airflow, affectant les versions de 0.0.0 à 3.2.0. Les auteurs de DAGs, qui ne devraient normalement pas pouvoir exécuter de code dans le contexte du serveur web, pouvaient créer une charge utile XCom permettant d'exécuter du code arbitraire sur le serveur web. La mise à jour vers Apache Airflow 3.2.0 corrige ce problème.
La vulnérabilité CVE-2026-25917 dans Apache Airflow permet aux auteurs de DAGs, qui ne devraient normalement pas être en mesure d'exécuter du code dans le contexte du serveur web, d'exécuter du code arbitraire en manipulant les charges utiles XCom. Bien que les auteurs de DAGs soient généralement considérés comme dignes de confiance, la gravité de ce problème est classée comme faible en raison des restrictions inhérentes à l'environnement Airflow. La vulnérabilité réside dans la manière dont Airflow gère les données XCom, permettant l'injection de code malveillant si l'entrée n'est pas correctement validée. Cette injection pourrait permettre l'exécution de commandes sur le serveur web, compromettant potentiellement l'intégrité du système. Il est essentiel de comprendre que cette vulnérabilité n'accorde pas un accès direct à la base de données ou à des ressources sensibles, mais permet l'exécution de code dans le contexte du serveur web.
Cette vulnérabilité est exploitée en créant un DAG malveillant contenant une charge utile XCom spécialement conçue pour injecter et exécuter du code arbitraire sur le serveur web Airflow. L'auteur du DAG, profitant de son accès, peut télécharger ce DAG vers Airflow, déclenchant l'exécution du code malveillant lorsque le DAG est exécuté. L'efficacité de l'exploitation dépend de la configuration de l'environnement Airflow et des autorisations de l'utilisateur exécutant le DAG. Étant donné que les auteurs de DAGs ont souvent un niveau de confiance élevé, l'exploitation peut être plus facile à atteindre si des mesures de sécurité supplémentaires ne sont pas mises en œuvre. La vulnérabilité est considérée comme de faible gravité en raison de la nécessité d'un auteur de DAG malveillant et des limitations sur le code qui peut être exécuté.
Organizations heavily reliant on Apache Airflow for orchestrating complex workflows, particularly those with a large number of Dag Authors or those who grant Dag Authors extensive permissions, are at increased risk. Environments where sensitive data is processed or stored within Airflow DAGs are also particularly vulnerable.
• python / airflow: Inspect XCom payloads for suspicious code patterns using Airflow's logging and monitoring tools. • python / airflow: Monitor Airflow webserver logs for unusual process executions or errors related to XCom processing. • python / airflow: Review Dag Author permissions and restrict access to sensitive resources. • python / airflow: Use Airflow's built-in security features, such as role-based access control (RBAC), to limit the privileges of Dag Authors.
disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 9%)
L'atténuation recommandée pour CVE-2026-25917 est de mettre à niveau Apache Airflow vers la version 3.2.0 ou supérieure. Cette version inclut une correction qui résout la vulnérabilité en validant et en désinfectant correctement les données XCom, empêchant l'exécution de code arbitraire. Il est fortement recommandé d'effectuer cette mise à niveau dès que possible pour protéger votre environnement Airflow. De plus, examinez les politiques de sécurité et d'accès pour vous assurer que les auteurs de DAGs disposent des privilèges minimaux nécessaires. La mise en œuvre de processus de révision de code pour les DAGs peut également aider à détecter et à prévenir l'introduction de code malveillant. La surveillance des journaux Airflow à la recherche d'activités suspectes est une pratique recommandée pour identifier d'éventuelles tentatives d'exploitation.
Actualice Apache Airflow a la versión 3.2.0 o posterior para mitigar la vulnerabilidad. Esta actualización corrige la forma en que se deserializan los XCom, evitando la ejecución de código arbitrario por parte de autores de DAGs maliciosos.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
XCom est un mécanisme dans Airflow pour transmettre des données entre les tâches.
Elle nécessite un auteur de DAG malveillant et le code exécuté est limité au contexte du serveur web.
Examinez les politiques de sécurité et d'accès, mettez en œuvre des révisions de code et surveillez les journaux.
Oui, tous les environnements Airflow utilisant des versions antérieures à 3.2.0 sont vulnérables.
Consultez la page CVE-2026-25917 sur la base de données des vulnérabilités nationales (NVD) et les notes de publication d'Airflow 3.2.0.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.