漏洞描述:

Apache Airflow 是一个可编程，调度和监控的工作流平台，基于有向无环图(DAG)，Airflow 可以定义一组有依赖的任务，按照依赖依次执行。该漏洞影响版本Apache Airflow <2.4.0；当攻击者可访问到Apache Airflow的后台，且环境中存在默认Example Dags，则可构造恶意请求借助run_id 执行任意命令。

准备环境:

Ubuntu、apache airflow2.3.4、python3.8、mysql5.7.39

一、环境搭建：

1、指定air-flow主目录：

export AIRFLOW_HOME=~/airflow

2、air-flow安装

pip3 install apache-airflow==2.3.4