CVE-2026-45360 in Airflow
요약
\~에 의해 VulDB • 2026. 06. 01.
Apache Airflow의 스케줄러 측 데드라인 참조 디코더(`SerializedCustomReference.deserialize_reference`)는 허용 목록이나 플러그인 레지스트리 검증 없이 DAG 작성자가 제어하는 직렬화 상태로부터 임의의 클래스 경로를 가져와 디스패치합니다. 스케줄러에 도달하는 코드를 가진 DAG 작성자(스케줄러 프로세스에서 DAG 번들을 가져올 수 있는 단일 호스트 배포의 기본 설정)는 공격자가 제어하는 모듈 경로를 지칭하는 직렬화된 형태를 가진 사용자 정의 `DeadlineReference`를 임베드할 수 있으며, 이로 인해 스케줄러가 `import_string(...)`를 호출하고 해당 클래스를 연결된 활성 SQLAlchemy 세션과 함께 인스턴스화합니다. DAG 작성자 코드가 스케줄러 프로세스보다 신뢰도가 낮은 배포 환경에 영향을 미칩니다. 사용자는 `apache-airflow` 3.2.2 이상으로 업그레이드할 것을 권장합니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.