CVE-2026-33264 in Airflowinformazioni

Riassunto

di VulDB • 07/07/2026

Un bug in `BaseSerialization.deserialize()` consentiva l'importazione non controllata di percorsi di classi (`import_string()`) controllati dall'attaccante quando il Scheduler / API Server caricava un DAG serializzato: un autore del DAG poteva incorporare un trigger malevolo nel DAG per ottenere l'esecuzione remota di codice (RCE) sul processo dell'API Server / Scheduler, violando i confini di sicurezza di Airflow che impongono che il codice degli autori dei DAG non debba mai essere eseguito in tali processi. Si consiglia agli utenti di eseguire l'aggiornamento a `apache-airflow` versione 3.3.0 o successiva. Come mitigazione defense-in-depth, le distribuzioni in cui la fiducia negli autori dei DAG è limitata possono restringere la configurazione `[core] allowed_deserialization_classes` a un allowlist ristretto.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

Apache

Prenotare

18/03/2026

Divulgazione

07/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!