MEDIUMCVE-2025-54550

Apache Airflow: example_xcom dag 中的竞态条件导致 RCE

平台

python

组件

apache-airflow

修复版本

3.2.0

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

CVE-2025-54550 描述了 Apache Airflow 0.0.0 至 3.2.0 版本中存在的远程代码执行 (RCE) 漏洞。该漏洞源于示例 XCom 读取模式的不安全实现，允许具有修改 XCom 权限的 UI 用户在工作节点上执行任意代码。虽然示例 DAG 不应在生产环境中使用，但遵循示例的用户可能复制此不安全模式，造成潜在的安全风险。建议升级至 3.2.0 版本以解决此问题。

影响与攻击场景

攻击者可以通过利用此漏洞，在 Airflow 工作节点上执行任意代码。攻击者首先需要访问 Airflow UI 并具有修改 XCom 的权限。一旦获得权限，攻击者就可以通过构造恶意的 XCom 值来触发代码执行。这可能导致攻击者完全控制受影响的系统，窃取敏感数据，或进行进一步的攻击活动。由于示例 DAG 通常用于演示和学习目的，因此不熟悉 Airflow 安全最佳实践的用户更容易受到此漏洞的影响。此漏洞的潜在影响包括数据泄露、系统被劫持以及供应链攻击。

利用背景

目前尚未公开发现针对此漏洞的利用代码，但由于漏洞的严重性，存在被利用的风险。该漏洞已于 2026-04-15 公开披露。由于该漏洞影响的是示例代码，且需要 UI 访问权限，因此实际利用的可能性相对较低，但仍需关注。CISA 尚未将其添加到 KEV 目录。

哪些人处于风险中翻译中…

Organizations that have deployed Apache Airflow and are using or have previously used the example_xcom example in their custom DAGs are at risk. This includes teams that have copied and pasted code snippets from the Airflow documentation without proper security review. Shared hosting environments where multiple users have access to the Airflow UI are also particularly vulnerable.

检测步骤翻译中…

• python / airflow: Inspect custom DAGs for instances of insecure XCom value reading patterns. Look for code that directly reads XCom values without proper sanitization or validation.

# Example of potentially vulnerable code
xcom_value = task_instance.xcom_pull(task_ids='upstream_task', key='my_key')
# ... use xcom_value without validation

• python / airflow: Review Airflow worker logs for any unusual code execution or errors related to XCom processing. • python / airflow: Check Airflow UI user permissions to ensure that only authorized users have the ability to modify XComs.

攻击时间线

2026-04-15Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

报告2 份威胁报告

EPSS

0.06% (18% 百分位)

受影响的软件

组件apache-airflow

供应商Apache Software Foundation

影响范围修复版本

0.0.0 – 3.1.93.2.0

—3.2.0

弱点分类 (CWE)

CWE-94

时间线

已保留2025-07-24
发布日期2026-04-15
修改日期2026-04-19
EPSS 更新日期2026-04-22

披露后-7天发布补丁

缓解措施和替代方案

最有效的缓解措施是升级至 Apache Airflow 3.2.0 或更高版本，该版本修复了此漏洞。如果无法立即升级，建议禁用示例 DAG 或修改 XCom 读取模式，以确保其安全性。具体来说，应避免直接从 XCom 读取值，而应使用安全的方式进行处理。此外，应审查 Airflow 的访问控制策略，确保只有授权用户才能修改 XCom。可以考虑使用 Web 应用防火墙 (WAF) 来检测和阻止恶意请求，但 WAF 并非万无一失的解决方案。升级后，请验证 XCom 读取模式是否已正确更新，以确保漏洞已得到修复。

修复方法

升级到 Apache Airflow 3.2.0 或更高版本以缓解漏洞。避免在您的实现中复制从 XCom 读取值的安全模式，并遵循更新的文档中的建议。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2025-54550 — RCE 在 Apache Airflow 中？

CVE-2025-54550 是 Apache Airflow 0.0.0–3.2.0 版本中发现的远程代码执行 (RCE) 漏洞，由于示例 XCom 读取模式不安全，UI 用户可执行任意代码。

我是否受到 CVE-2025-54550 在 Apache Airflow 中影响？

如果您正在使用 Apache Airflow 0.0.0 至 3.2.0 版本，并且使用了示例 DAG 或复制了不安全的 XCom 读取模式，则可能受到影响。

我如何修复 CVE-2025-54550 在 Apache Airflow 中？

建议升级至 Apache Airflow 3.2.0 或更高版本。如果无法升级，请禁用示例 DAG 或修改 XCom 读取模式，以确保其安全性。

CVE-2025-54550 是否正在被积极利用？

目前尚未公开发现针对此漏洞的利用代码，但存在被利用的风险。

在哪里可以找到 Apache Airflow 官方关于 CVE-2025-54550 的公告？

请查阅 Apache Airflow 官方安全公告或官方文档，以获取有关此漏洞的更多信息。