Platform
python
Component
apache-airflow
Opgelost in
2.1.3
2.1.3
CVE-2021-38540 is een ernstige kwetsbaarheid in Apache Airflow, die ongeauthenticeerde toegang tot de variable import endpoint mogelijk maakt. Dit kan leiden tot een denial of service (DoS), informatielek of zelfs remote code execution (RCE). De kwetsbaarheid treft versies van Airflow vanaf 2.0.0 tot en met 2.1.3rc1. Een fix is beschikbaar in versie 2.1.3.
Deze kwetsbaarheid stelt een aanvaller in staat om ongeautoriseerd variabelen toe te voegen of te wijzigen die in Airflow Directed Acyclic Graphs (DAGs) worden gebruikt. Een aanvaller kan bijvoorbeeld een schadelijke variabele injecteren die, wanneer de DAG wordt uitgevoerd, code uitvoert op de server. Dit kan resulteren in volledige controle over het systeem, data-exfiltratie, of het verstoren van de workflow. De impact is aanzienlijk, aangezien een succesvolle exploit kan leiden tot een compromittering van de gehele Airflow-omgeving en de onderliggende infrastructuur. Het is vergelijkbaar met scenario's waarbij configuratiebestanden of andere gevoelige data via onbeveiligde endpoints toegankelijk zijn.
Deze kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV). Er zijn publieke proof-of-concept exploits beschikbaar, wat de kans op actieve uitbuiting vergroot. De publicatie van de CVE en de beschikbaarheid van PoCs suggereren dat deze kwetsbaarheid een hoog risico vormt. De NVD publicatiedatum is 2022-05-24.
Organizations heavily reliant on Apache Airflow for orchestrating complex workflows are at significant risk. Specifically, deployments with publicly accessible Airflow instances or those lacking robust network segmentation are particularly vulnerable. Airflow installations using older versions (prior to 2.1.3) and those with limited security monitoring are also at heightened risk.
• python / airflow:
import requests
import json
url = "http://<airflow_host>/api/v1/variables/import"
headers = {'Content-Type': 'application/json'}
data = {'key': 'test_variable', 'value': 'malicious_code'}
try:
response = requests.post(url, headers=headers, data=json.dumps(data))
print(f"Response Status Code: {response.status_code}")
print(f"Response Content: {response.content}")
except requests.exceptions.RequestException as e:
print(f"Error: {e}")• linux / server: Monitor Airflow logs for unusual variable import activity or errors related to variable manipulation. Use journalctl -u airflow to filter for relevant log entries.
• generic web: Check Airflow server access logs for requests to /api/v1/variables/import originating from unexpected IP addresses or user agents.
disclosure
patch
Exploit Status
EPSS
91.78% (100% percentiel)
CVSS-vector
De primaire mitigatie is het upgraden naar Apache Airflow versie 2.1.3 of hoger. Indien een upgrade momenteel niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de variable import endpoint via een firewall of reverse proxy. Configureer de proxy om alleen verkeer van vertrouwde bronnen toe te staan. Het implementeren van een Web Application Firewall (WAF) met regels die ongeautoriseerde requests naar het endpoint blokkeren, kan ook helpen. Controleer de Airflow logs op verdachte activiteit, zoals ongebruikelijke variabelen die worden aangemaakt of gewijzigd.
Actualiseer Apache Airflow naar versie 2.1.3 of hoger. Dit corrigeert de ontbrekende authenticatie in het variabele import endpoint, waardoor ongeautoriseerde toegang en mogelijke aanvallen worden voorkomen. De update kan worden uitgevoerd via pip of de voorkeurs installatiemethode.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2021-38540 is a critical vulnerability in Apache Airflow versions 2.0.0 to 2.1.3 where unauthenticated users can modify Airflow variables, potentially leading to remote code execution.
You are affected if you are running Apache Airflow versions 2.0.0 through 2.1.3. Upgrade to 2.1.3 or later to resolve the issue.
The recommended fix is to upgrade Apache Airflow to version 2.1.3 or later. As a temporary workaround, restrict network access to the variable import endpoint.
While no confirmed active exploitation campaigns are publicly known, the vulnerability's severity and ease of exploitation make it a high-priority target.
You can find the official advisory on the Apache Airflow website: https://airflow.apache.org/2021/05/24/security-vulnerability-in-apache-airflow.html
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.