Apache Airflow 代码注入漏洞

    漏洞描述

    Apache Airflow是美国阿帕奇（Apache）基金会的一套用于创建、管理和监控工作流程的开源平台，具有可扩展和动态监控等特点。

    11月14日,Apache发布安全公告，修复了一个存在于Airflow中的代码注入漏洞，攻击者如果具有 UI 访问权限且可以触发有向无环图 (DAG)，则可利用此漏洞提供恶意的 run_id参数执行任意恶意代码,漏洞编号:CVE-2022-40127。

    影响版本

    Apache Airflow<2.4.0

    修复建议

    厂商已发布补丁修复漏洞，用户请尽快更新至安全版本：
Apache Airflow 2.4.1以及更高版本