Plataforma
python
Componente
apache-airflow
Corrigido em
3.2.0
3.2.0
Uma vulnerabilidade foi identificada no Apache Airflow, afetando versões de 0.0.0 até 3.2.0. Autores de DAGs, que normalmente não deveriam ser capazes de executar código no contexto do servidor web, poderiam criar um payload XCom causando a execução de código arbitrário no servidor web. Os usuários são recomendados a atualizar para o Apache Airflow 3.2.0, que corrige a questão.
A vulnerabilidade CVE-2026-25917 no Apache Airflow permite que autores de DAGs, que normalmente não deveriam ser capazes de executar código no contexto do servidor web, executem código arbitrário através da manipulação de cargas úteis XCom. Embora os autores de DAGs sejam geralmente considerados confiáveis, a severidade deste problema é classificada como baixa devido às restrições inerentes ao ambiente Airflow. A vulnerabilidade reside na forma como o Airflow lida com os dados XCom, permitindo a injeção de código malicioso se a entrada não for devidamente validada. Esta injeção pode permitir a execução de comandos no servidor web, comprometendo potencialmente a integridade do sistema. É crucial entender que esta vulnerabilidade não concede acesso direto ao banco de dados ou a recursos sensíveis, mas permite a execução de código dentro do contexto do servidor web.
Esta vulnerabilidade é explorada criando um DAG malicioso contendo uma carga útil XCom especialmente elaborada para injetar e executar código arbitrário no servidor web do Airflow. O autor do DAG, aproveitando seu acesso, pode enviar este DAG para o Airflow, desencadeando a execução do código malicioso quando o DAG for executado. A eficácia da exploração depende da configuração do ambiente Airflow e das permissões do usuário que executa o DAG. Dado que os autores de DAGs geralmente têm um alto nível de confiança, a exploração pode ser mais fácil de alcançar se medidas de segurança adicionais não forem implementadas. A vulnerabilidade é considerada de baixa severidade devido à necessidade de um autor de DAG malicioso e às limitações no código que pode ser executado.
Organizations heavily reliant on Apache Airflow for orchestrating complex workflows, particularly those with a large number of Dag Authors or those who grant Dag Authors extensive permissions, are at increased risk. Environments where sensitive data is processed or stored within Airflow DAGs are also particularly vulnerable.
• python / airflow: Inspect XCom payloads for suspicious code patterns using Airflow's logging and monitoring tools. • python / airflow: Monitor Airflow webserver logs for unusual process executions or errors related to XCom processing. • python / airflow: Review Dag Author permissions and restrict access to sensitive resources. • python / airflow: Use Airflow's built-in security features, such as role-based access control (RBAC), to limit the privileges of Dag Authors.
disclosure
Status do Exploit
EPSS
0.03% (percentil 9%)
A mitigação recomendada para CVE-2026-25917 é atualizar o Apache Airflow para a versão 3.2.0 ou superior. Esta versão inclui uma correção que aborda a vulnerabilidade, validando e higienizando adequadamente os dados XCom, prevenindo a execução de código arbitrário. Recomenda-se fortemente realizar esta atualização o mais rápido possível para proteger seu ambiente Airflow. Além disso, revise as políticas de segurança e acesso para garantir que os autores de DAGs tenham os privilégios mínimos necessários. Implementar processos de revisão de código para DAGs também pode ajudar a detectar e prevenir a introdução de código malicioso. Monitorar os logs do Airflow em busca de atividades suspeitas é uma prática recomendada para identificar possíveis tentativas de exploração.
Actualice Apache Airflow a la versión 3.2.0 o posterior para mitigar la vulnerabilidad. Esta actualización corrige la forma en que se deserializan los XCom, evitando la ejecución de código arbitrario por parte de autores de DAGs maliciosos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
XCom é um mecanismo no Airflow para passar dados entre tarefas.
Requer um autor de DAG malicioso e o código executado é limitado ao contexto do servidor web.
Revise as políticas de segurança e acesso, implemente revisões de código e monitore os logs.
Sim, todos os ambientes Airflow que usam versões anteriores a 3.2.0 são vulneráveis.
Consulte a página CVE-2026-25917 no National Vulnerability Database (NVD) e as notas de lançamento do Airflow 3.2.0.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.