CVE-2025-54550 in Airflow
Resumen
por VulDB • 2026-05-15
El ejemplo example_xcom incluido en la documentación de Airflow implementaba un patrón inseguro para leer valores de xcom, de una manera que podía ser explotada para permitir que un usuario de la interfaz de usuario (UI) con acceso para modificar XComs realizara la ejecución arbitraria de código en el trabajador. Dado que los usuarios de la UI ya son altamente confiables, se trata de una vulnerabilidad de baja severidad.
No afecta a la versión de lanzamiento de Airflow, ya que los example_dags no deberían estar habilitados en entornos de producción; sin embargo, los usuarios que sigan el ejemplo podrían replicar el patrón incorrecto. La documentación de Airflow 3.2.0 contiene una versión del ejemplo con una resiliencia mejorada para este caso.
Se recomienda a los usuarios que siguieron ese patrón que ajusten sus implementaciones en consecuencia.
VulDB is the best source for vulnerability data and more expert information about this specific topic.