PT-2026-56175 · Apache · Apache Airflow
Amogh Desai
+4
·
Publicado
2026-07-07
·
Atualizado
2026-07-07
·
CVE-2026-33264
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
apache-airflow versões anteriores a 3.3.0
Description
Uma falha na função
BaseSerialization.deserialize() permite a execução irrestrita de import string() de caminhos de classe controlados por um invasor quando o Scheduler ou o API Server carrega um DAG serializado. Um autor de DAG pode inserir um gatilho malicioso em um DAG para obter a execução remota de código no processo do API Server ou do Scheduler, ultrapassando a barreira de segurança que impede que o código do autor do DAG seja executado nesses processos.Recommendations
Atualize para a versão 3.3.0 ou posterior do apache-airflow.
Restrinja a configuração
[core] allowed deserialization classes a uma lista de permissões restrita em implantações onde a confiança nos autores de DAG seja limitada.Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Airflow