CVE-2026-45360 in Airflowinformación

Resumen

por VulDB • 2026-06-01

El decodificador de referencias de vencimiento en el lado del programador de Apache Airflow (`SerializedCustomReference.deserialize_reference`) importaba y ejecutaba rutas de clases arbitrarias extraídas de un estado serializado controlado por el autor del DAG, sin aplicar una lista de permitidos (allowlist) ni un filtro basado en el registro de complementos (plugin-registry). Un autor de DAG cuyo código llega al programador —lo cual es el comportamiento predeterminado en implementaciones en un solo host donde el paquete del DAG es importable desde el proceso del programador— podría incrustar un `DeadlineReference` personalizado cuya forma serializada indicara una ruta de módulo controlada por el atacante, lo que provocaría que el programador ejecutara `import_string(...)` e instanciara dicha clase con una sesión activa de SQLAlchemy adjunta. Afecta a las implementaciones en las que el código del autor del DAG es menos confiable que el proceso del programador. Se recomienda a los usuarios actualizar a `apache-airflow` 3.2.2 o versiones posteriores.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Divulgación

2026-06-01

Moderación

aceptado

Artículo

VDB-367564

CPE

listo

EPSS

0.00083

KEV

no

Actividades

muy bajo

Sector

Transportation, Lawfirm, ...

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-45360
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-45360
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-45360/

AnteriorVisión De ConjuntoPróximo

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!