プラットフォーム
python
コンポーネント
apache-airflow
修正版
3.2.0
3.2.0
CVE-2025-54550 は Apache Airflow 0.0.0 から 3.2.0 までのバージョンに存在するリモートコード実行 (RCE) の脆弱性です。Airflow のドキュメントに含まれる example_xcom の実装に、XCom からの値を安全でない方法で読み取るパターンが存在し、UI ユーザーが XCom を変更できる権限を持つ場合、ワーカー上で任意のコードの実行を許してしまう可能性があります。Airflow 3.2.0 のドキュメントでは、この問題が改善されたバージョンが提供されています。
この脆弱性は、Apache Airflow の UI ユーザーが XCom を変更できる権限を持っている場合に悪用される可能性があります。攻撃者は、XCom に悪意のあるコードを挿入し、Airflow ワーカー上でそのコードを実行させることができます。これにより、機密情報の窃取、システムの改ざん、さらにはシステム全体の制御権の奪取といった深刻な被害が発生する可能性があります。特に、Airflow の UI ユーザーが広範な権限を持つ環境では、攻撃の影響範囲が広がる可能性があります。この脆弱性は、Airflow のドキュメント例をそのまま利用している環境で特にリスクが高まります。
この脆弱性は、CISA KEV カタログにはまだ登録されていません。現時点では、公開されている PoC は確認されていませんが、Airflow のドキュメント例を参考に悪用される可能性は否定できません。NVD は 2026年4月15日に公開されています。この脆弱性の深刻度は、影響範囲が限定的であるため、低と評価されています。
Organizations that have deployed Apache Airflow and are using or have previously used the example_xcom example in their custom DAGs are at risk. This includes teams that have copied and pasted code snippets from the Airflow documentation without proper security review. Shared hosting environments where multiple users have access to the Airflow UI are also particularly vulnerable.
• python / airflow: Inspect custom DAGs for instances of insecure XCom value reading patterns. Look for code that directly reads XCom values without proper sanitization or validation.
# Example of potentially vulnerable code
xcom_value = task_instance.xcom_pull(task_ids='upstream_task', key='my_key')
# ... use xcom_value without validation• python / airflow: Review Airflow worker logs for any unusual code execution or errors related to XCom processing. • python / airflow: Check Airflow UI user permissions to ensure that only authorized users have the ability to modify XComs.
disclosure
エクスプロイト状況
EPSS
0.06% (18% パーセンタイル)
この脆弱性への主な対策は、Apache Airflow をバージョン 3.2.0 以降にアップグレードすることです。アップグレードが困難な場合は、example_xcom のコードを修正し、XCom からの値を安全に読み取るようにする必要があります。また、UI ユーザーの権限を最小限に抑え、XCom へのアクセスを厳密に制御することも有効です。Web Application Firewall (WAF) を導入し、悪意のあるコードの実行を試みるリクエストをブロックすることも検討できます。Airflow のドキュメント例を本番環境で使用しないように徹底することも重要です。
この脆弱性を軽減するために、Apache Airflowをバージョン3.2.0以降にアップデートしてください。更新されたドキュメントの推奨事項に従い、XComの値の読み込みにおける安全でないパターンを実装に再現しないようにしてください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-54550 は Apache Airflow 0.0.0 から 3.2.0 までのバージョンに存在するリモートコード実行 (RCE) の脆弱性です。XCom の値の安全でない読み取りパターンにより、UI ユーザーが任意のコードを実行可能になります。
Apache Airflow のバージョンが 0.0.0 から 3.2.0 のいずれかである場合は、この脆弱性に影響を受ける可能性があります。
Apache Airflow をバージョン 3.2.0 以降にアップグレードしてください。アップグレードが難しい場合は、example_xcom のコードを修正し、XCom からの値を安全に読み取るようにしてください。
現時点では、公開されている PoC は確認されていませんが、悪用される可能性は否定できません。
Apache Airflow の公式アドバイザリは、[https://airflow.apache.org/docs/security/](https://airflow.apache.org/docs/security/) で確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。
requirements.txt ファイルをアップロードすると、影響の有無を即座にお知らせします。