Plateforme
python
Composant
apache-airflow
Corrigé dans
3.2.0
Une vulnérabilité a été découverte dans Apache Airflow, affectant les versions de 0.0.0 à 3.2.0. Un exemple d'utilisation de BashOperator dans la documentation suggérait une méthode permettant de transmettre dag_run.conf d'une manière qui pouvait permettre à un attaquant d'utiliser des entrées utilisateur non sécurisées pour escalader les privilèges d'un utilisateur de l'interface utilisateur et exécuter du code sur le worker. La mise à jour vers Apache Airflow 3.2.0 corrige ce problème.
La vulnérabilité CVE-2026-30898 dans Apache Airflow affecte les déploiements qui suivent des exemples obsolètes dans la documentation, en particulier concernant l'utilisation de dag_run.conf avec le BashOperator. La documentation précédente suggérait une méthode pour passer des configurations qui permettait l'inclusion de données fournies par l'utilisateur sans une désinfection appropriée. Cela pourrait permettre à un attaquant, disposant des privilèges d'un utilisateur de l'interface utilisateur, d'exécuter du code arbitraire sur les nœuds de travail d'Airflow. La gravité de ce problème réside dans la possibilité d'une élévation de privilèges et d'une exécution de code à distance, compromettant l'intégrité et la confidentialité des données traitées par Airflow. Il est essentiel d'examiner les DAG existants pour identifier et corriger tout exemple de ce schéma de configuration non sécurisé.
Un attaquant pourrait exploiter cette vulnérabilité s'il a accès à l'interface utilisateur d'Airflow et peut manipuler les paramètres de dagrun.conf. En injectant des commandes malveillantes dans dagrun.conf, l'attaquant pourrait influencer les commandes exécutées par le BashOperator sur le nœud de travail. L'exécution de ces commandes pourrait permettre à l'attaquant de lire des fichiers sensibles, de modifier des données ou même d'exécuter du code arbitraire avec les privilèges de l'utilisateur Airflow sur le nœud de travail. La complexité de l'exploitation dépend du niveau d'accès de l'attaquant à l'interface utilisateur et de sa capacité à manipuler les paramètres de dag_run.conf.
Organizations using Apache Airflow for data orchestration and workflow management are at risk, particularly those relying on the default documentation examples. Environments with less stringent access controls and those that have adopted the insecure example without proper sanitization are at higher risk. Shared hosting environments utilizing Airflow also present a greater attack surface.
• python / airflow:
import airflow
# Check Airflow version
print(airflow.__version__)
# Review DAGs for insecure dag_run.conf usage
# (Manual code review required)• generic web:
curl -I http://<airflow_url>/ | grep 'Server: Apache Airflow'disclosure
Statut de l'Exploit
EPSS
0.08% (percentile 23%)
L'atténuation principale de CVE-2026-30898 consiste à mettre à niveau Apache Airflow vers la version 3.2.0 ou supérieure. Cette version inclut des correctifs pour empêcher la vulnérabilité. De plus, il est fortement recommandé d'examiner tous les DAG existants qui utilisent le BashOperator et manipulent dagrun.conf. Supprimez tout code qui transmet directement des données fournies par l'utilisateur aux commandes système sans désinfection appropriée. Mettez en œuvre une validation et un échappement robustes de toute entrée utilisateur utilisée dans les commandes système. Envisagez d'utiliser des alternatives plus sûres pour la configuration, telles que des variables d'environnement ou des fichiers de configuration prédéfinis, plutôt que de dépendre de dagrun.conf pour les données fournies par l'utilisateur.
Actualice Apache Airflow a la versión 3.2.0 o superior para mitigar la vulnerabilidad de inyección de comandos. Revise las DAGs existentes para identificar y corregir cualquier uso incorrecto de `dag_run.conf` que pueda permitir la ejecución de código no autorizado.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Les versions antérieures à 3.2.0 sont vulnérables à cette vulnérabilité.
Examinez vos DAG à la recherche de BashOperator qui utilisent dag_run.conf pour transmettre des données fournies par l'utilisateur sans désinfection.
Actuellement, il n'existe pas d'outils automatisés spécifiques à cette vulnérabilité, mais l'examen manuel des DAG est la méthode la plus fiable.
Utilisez des variables d'environnement, des fichiers de configuration prédéfinis ou des paramètres d'entrée sécurisés pour transmettre des données aux commandes système.
Consultez l'avis de sécurité d'Apache Airflow et la documentation officielle pour plus de détails.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.