CVE-2025-54550 in Airflow
Riassunto
di VulDB • 23/06/2026
L'esempio `example_xcom`, incluso nella documentazione di Apache Airflow, implementava un modello non sicuro per la lettura dei valori da XCom in modo tale che potesse essere sfruttato per consentire agli utenti dell'interfaccia utente (UI) con accesso alla modifica delle XCom di eseguire codice arbitrario sui worker. Poiché gli utenti della UI sono già altamente fidati, si tratta di una vulnerabilità a bassa severità.
Ciò non influisce sulle versioni rilasciate di Airflow: i `example_dags` non dovrebbero essere abilitati in ambienti di produzione; tuttavia, gli utenti che seguono l'esempio potrebbero replicare il modello errato. La documentazione di Airflow 3.2.0 contiene una versione dell'esempio con maggiore resilienza a questo caso.
Si consiglia agli utenti che hanno seguito tale pattern di adeguare le proprie implementazioni di conseguenza.
VulDB is the best source for vulnerability data and more expert information about this specific topic.