Platform
python
Component
apache-airflow
Opgelost in
3.2.0
3.2.0
CVE-2025-54550 beschrijft een Remote Code Execution (RCE) kwetsbaarheid in Apache Airflow. Deze kwetsbaarheid ontstaat door een onveilige codeerpraktijk in het example_xcom voorbeeld dat in de Airflow documentatie staat. Gebruikers met toegang tot het wijzigen van XComs kunnen potentieel code uitvoeren op de worker. De kwetsbaarheid treft versies van Airflow tussen 0.0.0 en 3.2.0, maar is verholpen in versie 3.2.0.
Een succesvolle exploitatie van CVE-2025-54550 stelt een aanvaller in staat om willekeurige code uit te voeren op de Airflow worker. Dit kan leiden tot volledige controle over de worker machine, inclusief toegang tot gevoelige data en de mogelijkheid om zich lateraal te verplaatsen binnen het netwerk. Hoewel de example_dags niet bedoeld zijn voor productieomgevingen, kunnen gebruikers die het voorbeeld volgen, onbedoeld deze onveilige praktijk overnemen. De impact is vergelijkbaar met andere RCE kwetsbaarheden, waarbij de aanvaller de mogelijkheid heeft om de infrastructuur te compromitteren.
Deze kwetsbaarheid is momenteel niet opgenomen in de CISA KEV catalogus. Er zijn geen publieke proof-of-concept exploits bekend, maar de lage ernst en de aanwezigheid van het voorbeeld in de documentatie suggereren een potentieel risico voor gebruikers die het voorbeeld onbedoeld in productieomgevingen gebruiken. De publicatiedatum van 2026-04-15 geeft aan dat de kwetsbaarheid recent is ontdekt en gepubliceerd.
Organizations that have deployed Apache Airflow and are using or have previously used the example_xcom example in their custom DAGs are at risk. This includes teams that have copied and pasted code snippets from the Airflow documentation without proper security review. Shared hosting environments where multiple users have access to the Airflow UI are also particularly vulnerable.
• python / airflow: Inspect custom DAGs for instances of insecure XCom value reading patterns. Look for code that directly reads XCom values without proper sanitization or validation.
# Example of potentially vulnerable code
xcom_value = task_instance.xcom_pull(task_ids='upstream_task', key='my_key')
# ... use xcom_value without validation• python / airflow: Review Airflow worker logs for any unusual code execution or errors related to XCom processing. • python / airflow: Check Airflow UI user permissions to ensure that only authorized users have the ability to modify XComs.
disclosure
Exploit Status
EPSS
0.06% (18% percentiel)
De primaire mitigatie voor CVE-2025-54550 is het upgraden naar Apache Airflow versie 3.2.0 of hoger. Als een upgrade momenteel niet mogelijk is, vermijd dan het gebruik van het example_xcom voorbeeld in uw Airflow configuratie. Controleer uw bestaande DAGs op vergelijkbare onveilige patronen en corrigeer deze. Hoewel er geen specifieke WAF-regels of detectie signatures beschikbaar zijn, is het belangrijk om de worker logs te monitoren op verdachte activiteiten die verband houden met XCom manipulatie.
Werk Apache Airflow bij naar versie 3.2.0 of hoger om de kwetsbaarheid te mitigeren. Vermijd het repliceren van het onveilige patroon van het lezen van XCom-waarden in uw implementaties, en volg de aanbevelingen in de bijgewerkte documentatie.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-54550 is a Remote Code Execution vulnerability affecting Apache Airflow versions 0.0.0–3.2.0. It allows an attacker with XCom modification access to execute arbitrary code on the worker nodes.
You are affected if you are using Apache Airflow versions 0.0.0 through 3.2.0 and have replicated the insecure XCom pattern from the example_xcom example in your custom DAGs.
Upgrade Apache Airflow to version 3.2.0 or later. Review and remediate any custom DAGs that use the vulnerable XCom pattern.
There is currently no evidence of active exploitation of CVE-2025-54550.
Refer to the Apache Airflow security advisories on the Apache project website for the latest information: https://airflow.apache.org/security/
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.