Plataforma
python
Componente
apache-airflow
Corrigido em
2.9.3
2.9.3
O CVE-2024-39877 é uma vulnerabilidade de Execução Remota de Código (RCE) presente no Apache Airflow. Essa falha permite que autores de DAGs autenticados manipulem o parâmetro doc_md para executar código arbitrário no contexto do scheduler, o que viola o modelo de segurança do Airflow. A vulnerabilidade afeta versões do Apache Airflow até a 2.9.3rc1 e foi corrigida na versão 2.9.3.
Um atacante que explore esta vulnerabilidade pode obter controle total sobre o scheduler do Apache Airflow, comprometendo todo o ambiente. Isso pode levar à execução de comandos arbitrários no servidor, roubo de dados confidenciais, modificação de DAGs existentes ou até mesmo a interrupção completa do serviço. A exploração bem-sucedida pode resultar em um impacto significativo na confidencialidade, integridade e disponibilidade dos dados e sistemas gerenciados pelo Airflow. A capacidade de executar código no contexto do scheduler permite a escalada de privilégios e o acesso a recursos sensíveis.
O CVE-2024-39877 foi publicado em 17 de julho de 2024. Atualmente, não há relatos de exploração ativa em campanhas direcionadas, mas a existência de um PoC público aumenta o risco de exploração. A pontuação CVSS de 8.8 (ALTO) indica uma alta probabilidade de exploração se a vulnerabilidade for descoberta e explorada. É recomendável monitorar as fontes de inteligência de ameaças para detectar possíveis atividades maliciosas.
Organizations heavily reliant on Apache Airflow for data orchestration and ETL processes are at significant risk. Specifically, teams with less stringent access controls for DAG authors, or those using Airflow in environments with sensitive data, are particularly vulnerable. Shared hosting environments where multiple users can create and deploy DAGs also increase the risk surface.
• python: Monitor Airflow logs for unusual process executions or errors related to DAG parsing.
import logging
logging.basicConfig(filename='airflow.log', level=logging.ERROR)
# Monitor for suspicious code execution attempts• python: Check for modified DAG files with suspicious doc_md parameters.
# Example: Check for unusual characters in doc_md
with open('my_dag.py', 'r') as f:
content = f.read()
if 'doc_md=' in content:
print('Potential vulnerability: doc_md parameter found')• generic web: Examine Airflow web server access logs for requests containing unusual or encoded characters in the doc_md parameter. Look for patterns indicative of code injection attempts.
disclosure
Status do Exploit
EPSS
0.10% (percentil 27%)
Vetor CVSS
A mitigação primária para o CVE-2024-39877 é a atualização imediata para o Apache Airflow versão 2.9.3 ou superior. Se a atualização imediata não for possível, considere restringir o acesso ao scheduler e implementar revisões rigorosas de todos os DAGs antes da implantação. Implementar controles de acesso baseados em função (RBAC) para limitar as permissões dos autores de DAGs pode ajudar a reduzir o risco. Monitore os logs do Airflow em busca de atividades suspeitas relacionadas à manipulação do parâmetro doc_md. Após a atualização, confirme a correção verificando a versão do Airflow com airflow version e inspecionando os logs em busca de erros relacionados à vulnerabilidade.
Actualice Apache Airflow a la versión 2.9.3 o posterior. Esta versión corrige la vulnerabilidad que permite la ejecución de código arbitrario. La actualización se puede realizar a través de pip o el método de instalación preferido.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-39877 is a remote code execution vulnerability in Apache Airflow versions 2.4.0 and earlier, up to 2.9.3rc1. It allows authenticated DAG authors to execute arbitrary code on the scheduler.
You are affected if you are running Apache Airflow versions 2.4.0 through 2.9.3rc1. Upgrade to 2.9.3 or later to mitigate the risk.
The recommended fix is to upgrade Apache Airflow to version 2.9.3 or later. As a temporary workaround, implement stricter input validation on the doc_md parameter.
While no active exploitation campaigns have been publicly confirmed, the vulnerability's severity and ease of exploitation suggest a high likelihood of future attacks.
Refer to the Apache Airflow security page for the latest information and advisory: https://airflow.apache.org/security
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.