北京赛克艾威科技有限公司 2024-07-16
Apache Airflow 是一个开源的工作流自动化平台,它允许用户定义、调度和监视工作流任务的执行。 受影响版本的 Airflow 会将 DAG 属性中的 doc\_md 参数进行Jinja2模板渲染,攻击者可控制 doc\_md 参数进而执行任意代码。 修复版本中修改为直接输出文档内容,从而防止恶意代码执行。
1. 将组件 apache-airflow 升级至 2.9.3 及以上版本
https://www.oscs1024.com/hd/MPS-d1sl-34fx
https://github.com/apache/airflow/commit/732a0e2d19b7e0ed2d4fd3b020d8bd1f5e66b352