Apache Airflow < 3.2.0 多個弱點
high Nessus Plugin ID 315213
語言:
概要
遠端主機上安裝的應用程式缺少供應商提供的安全性更新。說明
遠端主機上安裝的 Apache Airflow 版本早於 3.2.0。因此,該主機會受到多個弱點影響,包括:- DAG 作者通常不應該無法在 Web 伺服器內容中執行程式碼,可以製作 XCom 承載,導致 Web 伺服器透過還原序列化執行任意程式碼。
(CVE-2026-25917)
- Airflow 文件中的 BashOperator 範例建議傳遞 dag_run.conf 的方式可能會導致未清理的使用者輸入被用來提升 UI 使用者的權限,並在背景工作角色上執行程式碼。(CVE-2026-30898)
- 具有資產具體化權限的 UI 或 API 使用者可能會觸發他們無法存取的 DAG。
此問題會影響透過 3.1.x的 Apache Airflow3.0.0。(CVE-2026-32228)
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
升級至 Apache 3.2.0 或以上版本。另請參閱
https://lists.apache.org/thread/6whgpkqbh12rvpfmvcg8b0vwlv4hq3po
https://lists.apache.org/thread/26zmhfj1t95c1hld2r14ho81nzh1bdc8
https://lists.apache.org/thread/s7c75txgt4qf2rofcn43szfwgcrzy0nj
https://lists.apache.org/thread/tp6kz1hnfb3zsrrtg19myo8x5x80w8r9
Plugin 詳細資訊
嚴重性: High
ID: 315213
檔案名稱: apache_airflow_CVE-2026-25917.nasl
版本: 1.2
類型: Local
代理程式: windows, macosx, unix
系列: Misc.
已發布: 2026/5/18
已更新: 2026/5/19
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.7
CVSS v2
風險因素: High
基本分數: 9
時間性分數: 6.7
媒介: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C
CVSS 評分資料來源: CVE-2026-30898
CVSS v3
風險因素: High
基本分數: 8.8
時間性分數: 7.7
媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: cpe:/a:apache:airflow
必要的 KB 項目: installed_sw/Apache Airflow
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2026/4/17
弱點發布日期: 2026/4/17
參考資訊
CVE: CVE-2026-25917, CVE-2026-30898, CVE-2026-30912, CVE-2026-32228