CVE-2026-45360 in Airflow
要約
〜によって VulDB • 2026年06月01日
Apache Airflowのスケジューラ側のデッドライン参照デコーダ(`SerializedCustomReference.deserialize_reference`)は、ホワイトリストやプラグインレジストリによるゲートなしで、DAG作成者が制御するシリアライズされた状態から抽出された任意のクラスパスをインポートしてディスパッチしました。スケジューラにコードが到達するDAG作成者(スケジューラプロセスからDAGバンドルがインポート可能な単一ホストデプロイメントではデフォルト)は、シリアライズされた形式が攻撃者が制御するモジュールパスを指定するカスタム `DeadlineReference` を埋め込むことができ、それによりスケジューラが `import_string(...)` を呼び出して、生きているSQLAlchemyセッションがアタッチされたそのクラスのインスタンスを作成します。これは、DAG作成者のコードがスケジューラプロセスよりも信頼度が低いデプロイメントに影響を与えます。ユーザーは `apache-airflow` 3.2.2以降にアップグレードすることを推奨します。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.