近日,我司监测到Apache发布安全公告,修复了一个存在于Airflow中的代码注入漏洞,攻击者如果具有UI访问权限且可以触发有向无环图(DAG),则可利用此漏洞手动提供恶意的run_id进行代码注入,从而执行任意恶意代码。
Apache Airflow是一款开源的,分布式任务调度框架,它将一个具有上下级依赖关系的工作流,组装成一个有向无环图。
影响版本:
安全版本:
修复建议:
官方已经针对漏洞发布了版本更新(最新版为2.4.3),下载地址如下:
https://airflow.apache.org/docs/apache-airflow/stable/installation/installing-from-sources.html
评论已关闭。
豫公网安备 41010502004035号 
