Plataforma
python
Componente
apache-airflow
Corrigido em
3.2.0
Uma vulnerabilidade foi identificada no Apache Airflow, afetando versões de 0.0.0 até 3.2.0. Um exemplo de BashOperator na documentação sugeria uma forma de passar dag_run.conf que poderia permitir a utilização de entrada de usuário não sanitizada para escalar privilégios do usuário da UI. Os usuários devem revisar se seus DAGs adotaram esse conselho incorreto.
A vulnerabilidade CVE-2026-30898 no Apache Airflow afeta implementações que seguem exemplos desatualizados na documentação, especificamente no uso de dag_run.conf com o BashOperator. A documentação anterior sugeria uma forma de passar configurações que permitia a inclusão de dados fornecidos pelo usuário sem a devida sanitização. Isso poderia permitir que um atacante, com privilégios de usuário da interface do usuário, executasse código arbitrário nos nós de trabalho do Airflow. A severidade deste problema reside na possibilidade de escalada de privilégios e execução remota de código, comprometendo a integridade e a confidencialidade dos dados processados pelo Airflow. É crucial revisar as DAGs existentes para identificar e corrigir quaisquer instâncias deste padrão de configuração inseguro.
Um atacante poderia explorar esta vulnerabilidade se tiver acesso à interface do usuário do Airflow e puder manipular os parâmetros de dagrun.conf. Ao injetar comandos maliciosos em dagrun.conf, o atacante poderia influenciar os comandos executados pelo BashOperator no nó de trabalho. A execução destes comandos poderia permitir ao atacante ler arquivos sensíveis, modificar dados ou até mesmo executar código arbitrário com os privilégios do usuário do Airflow no nó de trabalho. A complexidade da exploração depende do nível de acesso do atacante à interface do usuário e da capacidade de manipular os parâmetros de dag_run.conf.
Organizations using Apache Airflow for data orchestration and workflow management are at risk, particularly those relying on the default documentation examples. Environments with less stringent access controls and those that have adopted the insecure example without proper sanitization are at higher risk. Shared hosting environments utilizing Airflow also present a greater attack surface.
• python / airflow:
import airflow
# Check Airflow version
print(airflow.__version__)
# Review DAGs for insecure dag_run.conf usage
# (Manual code review required)• generic web:
curl -I http://<airflow_url>/ | grep 'Server: Apache Airflow'disclosure
Status do Exploit
EPSS
0.08% (percentil 23%)
A mitigação principal para CVE-2026-30898 é atualizar o Apache Airflow para a versão 3.2.0 ou superior. Esta versão inclui correções para evitar a vulnerabilidade. Além disso, recomenda-se fortemente revisar todas as DAGs existentes que utilizem o BashOperator e manipulem dagrun.conf. Remova qualquer código que passe diretamente dados fornecidos pelo usuário para comandos do sistema sem uma sanitização adequada. Implemente uma validação e escape robustos de qualquer entrada de usuário que seja utilizada em comandos do sistema. Considere usar alternativas mais seguras para a configuração, como variáveis de ambiente ou arquivos de configuração predefinidos, em vez de depender de dagrun.conf para dados fornecidos pelo usuário.
Actualice Apache Airflow a la versión 3.2.0 o superior para mitigar la vulnerabilidad de inyección de comandos. Revise las DAGs existentes para identificar y corregir cualquier uso incorrecto de `dag_run.conf` que pueda permitir la ejecución de código no autorizado.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
As versões anteriores a 3.2.0 são vulneráveis a esta vulnerabilidade.
Revise suas DAGs em busca de BashOperator que utilizem dag_run.conf para passar dados fornecidos pelo usuário sem sanitização.
Atualmente, não há ferramentas automatizadas específicas para esta vulnerabilidade, mas a revisão manual das DAGs é o método mais confiável.
Use variáveis de ambiente, arquivos de configuração predefinidos ou parâmetros de entrada seguros para passar dados aos comandos do sistema.
Consulte o aviso de segurança do Apache Airflow e a documentação oficial para obter mais detalhes.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.