漏洞描述:
Apache Airflow 是一个可编程,调度和监控的工作流平台,基于有向无环图(DAG),Airflow 可以定义一组有依赖的任务,按照依赖依次执行。该漏洞影响版本Apache Airflow <2.4.0
;当攻击者可访问到Apache Airflow的后台,且环境中存在默认Example Dags
,则可构造恶意请求借助run_id 执行任意命令。
准备环境:
Ubuntu、apache airflow2.3.4、python3.8、mysql5.7.39
一、环境搭建:
1、指定air-flow主目录:
export AIRFLOW_HOME=~/airflow
2、air-flow安装
pip3 install apache-airflow==2.3.4