近日，我司监测到Apache发布安全公告，修复了一个存在于Airflow中的代码注入漏洞，攻击者如果具有UI访问权限且可以触发有向无环图(DAG)，则可利用此漏洞手动提供恶意的run_id进行代码注入，从而执行任意恶意代码。

Apache Airflow是一款开源的,分布式任务调度框架,它将一个具有上下级依赖关系的工作流,组装成一个有向无环图。

影响版本:

• Apache Airflow < 2.4.0

安全版本:

• Apache Airflow >= 2.4.0

修复建议：

官方已经针对漏洞发布了版本更新（最新版为2.4.3），下载地址如下：

https://airflow.apache.org/docs/apache-airflow/stable/installation/installing-from-sources.html