Platform
python
Component
apache-airflow
Opgelost in
3.2.0
Een kwetsbaarheid is ontdekt in Apache Airflow versies 0.0.0 tot en met 3.2.0. Een onjuiste suggestie in de documentatie van de BashOperator kon leiden tot het gebruik van ongezuiverde gebruikersinvoer, waardoor een UI-gebruiker privileges kon escaleren en code op de worker kon uitvoeren. Gebruikers wordt geadviseerd om hun DAGs te controleren op deze incorrecte aanpak.
CVE-2026-30898 in Apache Airflow heeft betrekking op implementaties die verouderde voorbeelden in de documentatie volgen, met name met betrekking tot het gebruik van dag_run.conf met de BashOperator. De eerdere documentatie stelde een methode voor om configuraties door te geven waardoor de opname van door de gebruiker verstrekte gegevens zonder goede sanering mogelijk was. Dit zou een aanvaller, met UI-gebruikersrechten, in staat kunnen stellen willekeurige code uit te voeren op Airflow-werknode. De ernst van dit probleem ligt in de mogelijkheid van privilege-escalatie en remote code execution, waardoor de integriteit en vertrouwelijkheid van de gegevens die door Airflow worden verwerkt in gevaar komen. Het is cruciaal om bestaande DAG's te controleren om alle voorbeelden van dit onveilige configuratiepatroon te identificeren en te corrigeren.
Een aanvaller zou deze kwetsbaarheid kunnen exploiteren als hij toegang heeft tot de Airflow UI en de parameters van dagrun.conf kan manipuleren. Door kwaadaardige commando's in dagrun.conf te injecteren, zou de aanvaller de commando's kunnen beïnvloeden die door de BashOperator op de werknode worden uitgevoerd. De uitvoering van deze commando's zou de aanvaller in staat kunnen stellen gevoelige bestanden te lezen, gegevens te wijzigen of zelfs willekeurige code uit te voeren met de rechten van de Airflow-gebruiker op de werknode. De complexiteit van de exploitatie hangt af van het toegangslevel van de aanvaller tot de UI en zijn vermogen om de parameters van dag_run.conf te manipuleren.
Organizations using Apache Airflow for data orchestration and workflow management are at risk, particularly those relying on the default documentation examples. Environments with less stringent access controls and those that have adopted the insecure example without proper sanitization are at higher risk. Shared hosting environments utilizing Airflow also present a greater attack surface.
• python / airflow:
import airflow
# Check Airflow version
print(airflow.__version__)
# Review DAGs for insecure dag_run.conf usage
# (Manual code review required)• generic web:
curl -I http://<airflow_url>/ | grep 'Server: Apache Airflow'disclosure
Exploit Status
EPSS
0.08% (23% percentiel)
De belangrijkste mitigatie voor CVE-2026-30898 is het upgraden van Apache Airflow naar versie 3.2.0 of hoger. Deze versie bevat fixes om de kwetsbaarheid te voorkomen. Bovendien wordt ten zeerste aanbevolen om alle bestaande DAG's te controleren die de BashOperator gebruiken en dagrun.conf manipuleren. Verwijder alle code die door de gebruiker verstrekte gegevens rechtstreeks aan systeemcommando's doorgeeft zonder goede sanering. Implementeer een robuuste validatie en escaping van alle gebruikersinvoer die in systeemcommando's wordt gebruikt. Overweeg veiligere alternatieven voor configuratie te gebruiken, zoals omgevingsvariabelen of vooraf gedefinieerde configuratiebestanden, in plaats van te vertrouwen op dagrun.conf voor door de gebruiker verstrekte gegevens.
Actualice Apache Airflow a la versión 3.2.0 o superior para mitigar la vulnerabilidad de inyección de comandos. Revise las DAGs existentes para identificar y corregir cualquier uso incorrecto de `dag_run.conf` que pueda permitir la ejecución de código no autorizado.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Versies vóór 3.2.0 zijn kwetsbaar voor deze kwetsbaarheid.
Controleer uw DAG's op BashOperator die dag_run.conf gebruiken om door de gebruiker verstrekte gegevens zonder sanering door te geven.
Momenteel zijn er geen specifieke geautomatiseerde tools voor deze kwetsbaarheid, maar handmatige DAG-review is de meest betrouwbare methode.
Gebruik omgevingsvariabelen, vooraf gedefinieerde configuratiebestanden of veilige invoerparameters om gegevens door te geven aan systeemcommando's.
Raadpleeg de beveiligingswaarschuwing van Apache Airflow en de officiële documentatie voor meer details.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.