Apache Airflow Sqoop Provider 远程代码执行漏洞

• 漏洞编号：CVE-2023-27604
• 漏洞类型：远程代码执行(RCE)
• 漏洞等级：中危
• 发布时间：2023-09-04

漏洞描述：

Apache Airflow是一个开源平台，用于开发、调度和监控面向批处理的工作流。Apache Airflow Sqoop Provider是Apache Airflow项目的一个插件，用于在Airflow中管理和调度Apache  Sqoop作业。

Apache Airflow发布安全公告，修复了一个存在于Apache Airflow Sqoop Provider 4.0.0版本之前的远程代码执行漏洞，漏洞编号：CVE-2023-27604，漏洞威胁等级：中危。

该漏洞允许攻击者通过连接传递参数，从而有可能通过 “sqoop import–connect “进行RCE攻击，获取airflow服务器权限等。攻击者需要登录并拥有创建/编辑连接的授权（权限）。

影响版本：

Apache Airflow Sqoop Provider<4.0.0

修复建议

官方已修复该漏洞，建议用户更新到安全版本。
安全版本: Apache Airflow Sqoop Provider >= 4.0.0
下载地址：https://airflow.apache.org/docs/apache-airflow-providers-apache-sqoop/stable/index.html#installation

临时防护方案：

参考链接:
https://lists.apache.org/thread/lswlxf11do51ob7f6xyyg8qp3n7wdrgd