CVE-2026-45360 in Airflowinformation

Résumé

par VulDB • 01/06/2026

Le décodeur de références de délai d'expiration côté planificateur d'Apache Airflow (`SerializedCustomReference.deserialize_reference`) importait et exécutait des chemins de classes arbitraires extraits d'un état sérialisé contrôlé par l'auteur du DAG, sans aucune liste d'autorisation (allowlist) ni contrôle via le registre des plugins. Un auteur de DAG dont le code atteint le planificateur — ce qui est le comportement par défaut dans les déploiements sur une seule hôte où le bundle du DAG est importable depuis le processus du planificateur — pourrait intégrer un `DeadlineReference` personnalisé dont la forme sérialisée spécifiait un chemin de module contrôlé par un attaquant, amenant le planificateur à exécuter `import_string(...)` et à instancier cette classe avec une session SQLAlchemy active attachée. Cela affecte les déploiements où le code de l'auteur du DAG est moins fiable que le processus du planificateur. Il est conseillé aux utilisateurs de mettre à niveau vers la version `apache-airflow` 3.2.2 ou ultérieure.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Divulgation

01/06/2026

Modérer

accepté

Entrée

VDB-367564

CPE

prêt

EPSS

0.00083

KEV

non

Activités

très faible

Secteur

Energy, Finance, ...

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-45360
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-45360
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-45360/

PrécédentAperçuSuivant

Do you need the next level of professionalism?

Upgrade your account now!