CVE-2026-45360 in Airflowinfo

Zusammenfassung

von VulDB • 01.06.2026

Der deadline-reference-Decoder auf Scheduler-Seite von Apache Airflow (`SerializedCustomReference.deserialize_reference`) importierte und ausführte beliebige Klassenpfade aus DAG-Autor-kontrolliertem, serialisiertem Zustand, ohne dass eine Allowlist oder ein Plugin-Registry-Gate vorhanden war. Ein DAG-Autor, dessen Code den Scheduler erreicht – was bei Single-Host-Deployments der Standardfall ist, bei denen das DAG-Bundle vom Scheduler-Prozess importiert werden kann – konnte einen benutzerdefinierten `DeadlineReference` einbetten, dessen serialisierte Form einen vom Angreifer kontrollierten Modulpfad angab. Dies führte dazu, dass der Scheduler `import_string(...)` aufrufte und diese Klasse mit einer aktiven SQLAlchemy-Sitzung instanziierte. Betroffen sind Deployments, bei denen der Code des DAG-Autors weniger vertrauenswürdig ist als der Scheduler-Prozess. Es wird empfohlen, auf `apache-airflow` 3.2.2 oder höher zu aktualisieren.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Veröffentlichung

01.06.2026

Moderieren

akzeptiert

Eintrag

VDB-367564

CPE

bereit

EPSS

0.00083

KEV

nein

Aktivitäten

very low

Sektor

Finance, Energy, ...

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-45360
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-45360
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-45360/

ZurückÜbersichtWeiter

Interested in the pricing of exploits?

See the underground prices here!