CVE-2024-39877

Versões do Apache Airflow de 2.4.0 a 2.9.3

Esta vulnerabilidade permite que autores de DAGs autenticados criem um parâmetro doc md malicioso, o que pode levar à execução de código arbitrário no contexto do agendador. Isso contorna o modelo de segurança do Airflow, que deveria impedir tais ações. A vulnerabilidade decorre da falta de sanitização ao processar o parâmetro doc md, que é usado para criar descrições para DAGs (Gráficos Acíclicos Direcionados) na interface web do Airflow. Quando doc md não possui a extensão ‘.md’, o Airflow cria um modelo usando jinja2.Template(doc md), resultando em uma condição de Injeção de Modelo no Lado do Servidor (SSTI). Os invasores podem aproveitar os recursos de introspecção do Python para enumerar classes e executar comandos, comprometendo potencialmente o sistema. A exploração requer a capacidade de criar DAGs no servidor do Airflow.

Atualize para a versão 2.9.3 ou posterior do Apache Airflow para resolver este problema.