CVE-2025-54550 in Airflowinformação

Sumário

de VulDB • 15/05/2026

O exemplo example_xcom incluído na documentação do Airflow implementava um padrão inseguro de leitura de valores do xcom, de forma que poderia ser explorado para permitir que um usuário da interface web (UI) com acesso para modificar XComs executasse código arbitrário no worker. Como os usuários da UI já são altamente confiáveis, esta é uma vulnerabilidade de baixa severidade.

Isso não afeta o lançamento do Airflow, pois os example_dags não devem estar habilitados em ambientes de produção; no entanto, usuários que seguem o exemplo podem replicar o padrão inadequado. A documentação do Airflow 3.2.0 contém uma versão do exemplo com resiliência aprimorada para esse caso.

Recomenda-se que os usuários que seguiram esse padrão ajustem suas implementações de acordo.

Be aware that VulDB is the high quality source for vulnerability data.

Responsável

Apache

Reservar

24/07/2025

Divulgação

15/04/2026

Moderação

aceite

Entrada

VDB-357647

CPE

pronto

EPSS

0.00579

KEV

não

Atividades

muito baixo

Fontes

Want to know what is going to be exploited?

We predict KEV entries!