Plataforma
python
Componente
apache-airflow
Corrigido em
3.2.0
3.2.0
A vulnerabilidade CVE-2025-54550 é uma falha de Execução Remota de Código (RCE) no Apache Airflow, afetando versões de 0.0.0 até 3.2.0. Essa falha ocorre devido a um padrão inseguro no exemplo example_xcom presente na documentação do Airflow, que permite a usuários da interface do usuário (UI) com permissão para modificar XComs, executar código arbitrário no worker. A correção foi disponibilizada na versão 3.2.0.
Um atacante com acesso à interface do usuário do Apache Airflow e permissão para modificar XComs pode explorar essa vulnerabilidade para executar código arbitrário no worker do Airflow. Isso pode levar à comprometimento do sistema, roubo de dados sensíveis, ou até mesmo à execução de comandos maliciosos no servidor. A exploração bem-sucedida requer que o atacante tenha acesso à UI e a capacidade de manipular os XComs, o que geralmente implica um nível de confiança já estabelecido no ambiente Airflow. A vulnerabilidade reside na forma como o exemplo example_xcom lê valores de XCom, permitindo a injeção de código malicioso. Embora os exemplos de DAGs não devam ser habilitados em produção, a replicação desse padrão inseguro pode expor sistemas a riscos significativos.
A vulnerabilidade CVE-2025-54550 foi divulgada em 2026-04-15. Não há indicações de que essa vulnerabilidade esteja sendo ativamente explorada em campanhas direcionadas. A probabilidade de exploração é considerada baixa, devido à necessidade de acesso à interface do usuário e à natureza do exemplo vulnerável, que não deve ser utilizado em ambientes de produção. Não foi adicionada ao KEV (Know Exploited Vulnerabilities) da CISA.
Organizations that have deployed Apache Airflow and are using or have previously used the example_xcom example in their custom DAGs are at risk. This includes teams that have copied and pasted code snippets from the Airflow documentation without proper security review. Shared hosting environments where multiple users have access to the Airflow UI are also particularly vulnerable.
• python / airflow: Inspect custom DAGs for instances of insecure XCom value reading patterns. Look for code that directly reads XCom values without proper sanitization or validation.
# Example of potentially vulnerable code
xcom_value = task_instance.xcom_pull(task_ids='upstream_task', key='my_key')
# ... use xcom_value without validation• python / airflow: Review Airflow worker logs for any unusual code execution or errors related to XCom processing. • python / airflow: Check Airflow UI user permissions to ensure that only authorized users have the ability to modify XComs.
disclosure
Status do Exploit
EPSS
0.06% (percentil 18%)
A mitigação primária para CVE-2025-54550 é atualizar o Apache Airflow para a versão 3.2.0 ou superior, que inclui a correção para essa vulnerabilidade. Se a atualização imediata não for possível, desative o exemplo examplexcom na documentação e evite replicar o padrão inseguro de leitura de XComs em seus DAGs. Considere implementar regras de firewall ou proxies para restringir o acesso à interface do usuário do Airflow apenas a usuários autorizados. Monitore os logs do Airflow em busca de atividades suspeitas relacionadas à manipulação de XComs. A verificação após a atualização deve ser feita confirmando que a versão do Airflow foi atualizada com sucesso e que o exemplo examplexcom não está mais presente ou utiliza o padrão corrigido.
Atualize o Apache Airflow para a versão 3.2.0 ou posterior para mitigar a vulnerabilidade. Evite replicar o padrão inseguro de leitura de valores de XCom em suas implementações, seguindo as recomendações da documentação atualizada.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-54550 is a Remote Code Execution vulnerability affecting Apache Airflow versions 0.0.0–3.2.0. It allows an attacker with XCom modification access to execute arbitrary code on the worker nodes.
You are affected if you are using Apache Airflow versions 0.0.0 through 3.2.0 and have replicated the insecure XCom pattern from the example_xcom example in your custom DAGs.
Upgrade Apache Airflow to version 3.2.0 or later. Review and remediate any custom DAGs that use the vulnerable XCom pattern.
There is currently no evidence of active exploitation of CVE-2025-54550.
Refer to the Apache Airflow security advisories on the Apache project website for the latest information: https://airflow.apache.org/security/
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.