近日，我司监测到Apache发布安全公告，修复了2个存在于Airflow中的安全漏洞。

Apache Airflow 是一个以编程方式创作、安排和监控工作流的平台。

漏洞详情如下：

CVE-2022-40754 Apache Airflow 存在开放重定向漏洞

风险等级：高危

漏洞类型：开放重定向

漏洞简介：该漏洞由于/confirm 端点未对url 进行过滤导致存在开放重定向漏洞，攻击者可利用此漏洞进行网络钓鱼攻击。

CVE-2022-40604 Apache Airflow 存在格式化字符串漏洞

风险等级：中危

漏洞类型：信息泄露

漏洞简介：该漏洞由于对 url 中的部分内容进行不必要的格式化，导致攻击者可利用此漏洞对 url 字符串进行信息提取，从而获取系统敏感信息。

影响版本:

• 2.3.0 <= Apache Airflow <= 2.3.4

安全版本:

• Apache Airflow >= 2.4.0

修复建议：

官方已经针对漏洞发布了软件更新，下载地址如下：

• https://github.com/apache/airflow/releases