Platform
python
Component
apache-airflow
Opgelost in
2.11.1
2.11.1
CVE-2024-56373 is een Remote Code Execution (RCE) kwetsbaarheid in Apache Airflow versies tot en met 2.9.3rc1. Een aanvaller met de rol van DAG-auteur kan de database van Airflow manipuleren om willekeurige code uit te voeren in de context van de webserver, wat een ernstige beveiligingsrisico vormt. De kwetsbaarheid is verholpen in Airflow 2.11.1 en Airflow 3. Gebruikers worden aangeraden om zo snel mogelijk te upgraden.
Deze kwetsbaarheid stelt een geautoriseerde DAG-auteur in staat om, door manipulatie van de Airflow database, willekeurige code uit te voeren in de context van de webserver. Dit betekent dat een aanvaller, die al toegang heeft tot het systeem via de DAG-auteur rol, de controle over de Airflow webserver kan overnemen. De impact is significant, aangezien dit kan leiden tot data-exfiltratie, systeemcompromittering en verdere aanvallen op andere systemen binnen het netwerk. De kwetsbaarheid is specifiek gerelateerd aan de functionaliteit voor het bekijken van historische taak informatie, wat de aanvalsmogelijkheid vergemakkelijkt.
Er is momenteel geen publieke exploitatie bevestigd, maar de kwetsbaarheid is significant vanwege de mogelijkheid tot RCE. De kwetsbaarheid is openbaar gemaakt op 2026-02-24. De ernst van de kwetsbaarheid wordt weerspiegeld in de CVSS score van 8.4 (HIGH). Er is geen vermelding op de CISA KEV catalogus op het moment van schrijven.
Organizations utilizing Apache Airflow versions 2.9.3rc1 and earlier, particularly those with DAG Authors who have extensive permissions, are at significant risk. Shared hosting environments where multiple users have DAG Author roles should be especially vigilant, as a compromised account could impact the entire infrastructure. Environments relying on legacy configurations or custom log template history implementations are also more vulnerable.
• python / airflow:
import airflow
# Check Airflow version
print(airflow.__version__)
# Monitor database logs for suspicious queries related to log template history• linux / server:
# Check Airflow process for unusual activity
ps aux | grep airflow
# Monitor Airflow logs for errors or suspicious entries
journalctl -u airflow -fdisclosure
Exploit Status
EPSS
0.03% (10% percentiel)
CVSS-vector
De primaire mitigatie is het upgraden naar Apache Airflow versie 2.11.1 of hoger, of naar Airflow 3. Deze versies bevatten de benodigde correcties om de kwetsbaarheid te verhelpen. Als een directe upgrade niet mogelijk is, kan de functionaliteit voor log template history worden uitgeschakeld. Alternatief kan de historische logbestandsnaam handmatig worden gewijzigd. Na de upgrade, controleer de Airflow logs op verdachte activiteiten en bevestig dat de kwetsbaarheid is verholpen door het bekijken van historische taak informatie en te controleren of er geen onverwachte code wordt uitgevoerd.
Actualice Apache Airflow a la versión 2.11.1 o superior. Si desea seguir utilizando el historial de plantillas de registro, actualice a Airflow 3. También puede modificar manualmente los nombres de los archivos de registro históricos si desea ver los registros históricos que se generaron antes del último cambio de plantilla de registro.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-56373 is a remote code execution vulnerability in Apache Airflow affecting versions up to 2.9.3rc1. A DAG Author can manipulate the database to execute arbitrary code.
You are affected if you are running Apache Airflow versions 2.9.3rc1 or earlier and have DAG Authors with elevated privileges.
Upgrade to Apache Airflow version 2.11.1 or Airflow 3. Alternatively, disable the log template history functionality as a temporary workaround.
Currently, there is no public evidence of active exploitation, but the vulnerability's potential impact warrants immediate attention and patching.
Refer to the Apache Airflow security advisories on the Apache project website for the latest information and updates: https://airflow.apache.org/security
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.