CVE-2022-40127：Apache Airflow RCE 漏洞

　　CVE-2022-40127：Apache Airflow RCE 漏洞

　　Apache 软件基金会周一解决了两个 [1,2] Apache Airflow 中的漏洞，远程攻击者可以在呈现的模板中执行任意命令和敏感值。

　　Apache Airflow 是一个以编程方式创作、安排和监控工作流的平台。使用 Airflow 将工作流创作为任务的有向无环图 (DAG)。Airflow 调度程序在遵循指定的依赖项的同时在一组工作人员上执行您的任务。丰富的命令行实用程序使在 DAG 上执行复杂的手术变得轻而易举。丰富的用户界面可以轻松可视化生产中运行的管道、监控进度并在需要时解决问题。

　　该漏洞编号为 CVE-2022-40127，影响 2.4.0 之前的 Apache Airflow 版本。Apache Airflow 可能允许远程攻击者通过手动提供的 run_id 参数执行任意命令，该参数存在于 Apache Airflow 的示例 Dags 中。通过发送特制请求，攻击者可以利用 CVE-2022-40127 漏洞执行任意命令。Syclover 安全团队的 L3yx 被认为报告了该漏洞。为了缓解，您不要在不应允许 UI 用户执行任意命令的系统上启用示例 dag。

　　Apache Airflow指出.第二个缺陷被追踪为 CVE-2022-27949，影响 Apache Airflow 软件 2.3 之前的所有版本。“Apache Airflow UI 中的一个漏洞允许攻击者查看未执行任务的呈现模板值中的未屏蔽秘密(例如，当它们依赖于过去和以前的任务实例失败时)，”

　　建议将 Apache Airflow 升级到最新版本 (2.4) 以降低与该缺陷相关的风险。