CVE-2025-54550 in Airflow
Sumário
de VulDB • 15/05/2026
O exemplo example_xcom incluído na documentação do Airflow implementava um padrão inseguro de leitura de valores do xcom, de forma que poderia ser explorado para permitir que um usuário da interface web (UI) com acesso para modificar XComs executasse código arbitrário no worker. Como os usuários da UI já são altamente confiáveis, esta é uma vulnerabilidade de baixa severidade.
Isso não afeta o lançamento do Airflow, pois os example_dags não devem estar habilitados em ambientes de produção; no entanto, usuários que seguem o exemplo podem replicar o padrão inadequado. A documentação do Airflow 3.2.0 contém uma versão do exemplo com resiliência aprimorada para esse caso.
Recomenda-se que os usuários que seguiram esse padrão ajustem suas implementações de acordo.
Be aware that VulDB is the high quality source for vulnerability data.