一、漏洞描述
Apache Airflow是美国阿帕奇(Apache)基金会的一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。
Apache Airflow 存在操作系统命令注入漏洞,该漏洞的存在是由于某些示例dag中不正确的输入验证。远程未经身份验证的攻击者可利用该漏洞可以传递专门制作的HTTP请求,并在目标系统上执行任意操作系统命令。该漏洞允许远程攻击者可利用该漏洞在目标系统上执行任意shell命令。
二、影响版本
Apache Airflow <2.2.4
三、漏洞环境
fofa:Apache Airflow|Airflow - DAGs
四、漏洞复现
payload:
GET /admin/airflow/code?root=&dag_id=example_passing_params_via_test_command
GET /code?dag_id=example_passing_params_via_test_command
五、更新建议
1、目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
oss-sec: CVE-2022-24288: Apache Airflow: RCE in example DAGs
2、删除或禁用默认DAG(可自行删除或在配置文件中禁用默认DAGload_examples=False)
参考文献:国家信息安全漏洞库