प्लेटफ़ॉर्म
python
घटक
apache-airflow
में ठीक किया गया
3.2.0
3.2.0
CVE-2025-54550 Apache Airflow में एक रिमोट कोड एग्जीक्यूशन (RCE) भेद्यता है। यह भेद्यता UI उपयोगकर्ताओं को XCom डेटा को असुरक्षित तरीके से पढ़ने की अनुमति देती है, जिससे वे Apache Airflow वर्कर पर मनमाना कोड निष्पादित कर सकते हैं। यह भेद्यता Apache Airflow के संस्करण 0.0.0 से 3.2.0 तक के संस्करणों को प्रभावित करती है। Apache Airflow 3.2.0 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावर को Apache Airflow वर्कर पर मनमाना कोड निष्पादित करने की अनुमति देती है, जिससे सिस्टम पर पूर्ण नियंत्रण प्राप्त हो सकता है। हमलावर संवेदनशील डेटा तक पहुंच प्राप्त कर सकता है, सिस्टम को दूषित कर सकता है, या अन्य सिस्टम पर आगे बढ़ने के लिए इसका उपयोग कर सकता है। चूंकि UI उपयोगकर्ता पहले से ही अत्यधिक विश्वसनीय होते हैं, इसलिए इस भेद्यता को कम गंभीरता माना जाता है। उदाहरण के तौर पर, यदि कोई हमलावर XCom डेटा को संशोधित करने में सक्षम है, तो वे दुर्भावनापूर्ण कोड इंजेक्ट कर सकते हैं जो वर्कर द्वारा निष्पादित किया जाएगा। यह कोड सिस्टम पर किसी भी कार्रवाई को करने के लिए उपयोग किया जा सकता है, जैसे कि डेटा चोरी करना या सिस्टम को दूषित करना।
यह भेद्यता अभी तक KEV में शामिल नहीं की गई है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) ज्ञात नहीं हैं। NVD और CISA ने इस भेद्यता के लिए तारीखें जारी की हैं: 2026-04-15। सक्रिय शोषण की कोई जानकारी नहीं है।
Organizations that have deployed Apache Airflow and are using or have previously used the example_xcom example in their custom DAGs are at risk. This includes teams that have copied and pasted code snippets from the Airflow documentation without proper security review. Shared hosting environments where multiple users have access to the Airflow UI are also particularly vulnerable.
• python / airflow: Inspect custom DAGs for instances of insecure XCom value reading patterns. Look for code that directly reads XCom values without proper sanitization or validation.
# Example of potentially vulnerable code
xcom_value = task_instance.xcom_pull(task_ids='upstream_task', key='my_key')
# ... use xcom_value without validation• python / airflow: Review Airflow worker logs for any unusual code execution or errors related to XCom processing. • python / airflow: Check Airflow UI user permissions to ensure that only authorized users have the ability to modify XComs.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.06% (18% शतमक)
इस भेद्यता को कम करने के लिए, Apache Airflow को संस्करण 3.2.0 में अपग्रेड करने की अनुशंसा की जाती है। यदि अपग्रेड संभव नहीं है, तो XCom डेटा को असुरक्षित तरीके से पढ़ने से बचने के लिए उदाहरण_xcom उदाहरण को अक्षम करें। इसके अतिरिक्त, XCom डेटा को पढ़ने के लिए उपयोग किए जाने वाले कोड की समीक्षा करें और सुनिश्चित करें कि यह सुरक्षित है। Apache Airflow के उदाहरण DAGs को उत्पादन वातावरण में सक्षम नहीं किया जाना चाहिए। यदि आप उदाहरण DAGs का उपयोग कर रहे हैं, तो सुनिश्चित करें कि आप सुरक्षा सर्वोत्तम प्रथाओं का पालन कर रहे हैं।
भेद्यता को कम करने के लिए Apache Airflow को संस्करण 3.2.0 या बाद के संस्करण में अपडेट करें। अपने कार्यान्वयनों में XCom मानों को पढ़ने के असुरक्षित पैटर्न को दोहराने से बचें, अपडेट किए गए दस्तावेज़ की सिफारिशों का पालन करें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-54550 Apache Airflow में एक रिमोट कोड एग्जीक्यूशन भेद्यता है जो XCom डेटा को असुरक्षित तरीके से पढ़ने की अनुमति देती है, जिससे हमलावर कोड निष्पादित कर सकते हैं।
यदि आप Apache Airflow के संस्करण 0.0.0 से 3.2.0 तक का उपयोग कर रहे हैं और उदाहरण_xcom उदाहरण सक्षम है, तो आप प्रभावित हैं।
Apache Airflow को संस्करण 3.2.0 में अपग्रेड करें या उदाहरण_xcom उदाहरण को अक्षम करें।
वर्तमान में सक्रिय शोषण की कोई जानकारी नहीं है।
आधिकारिक Apache Airflow सलाहकार के लिए Apache Airflow वेबसाइट देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।