漏洞公告 | Apache Airflow 存在多个漏洞

近日，华云安安全团队发现了Apache发布安全公告，修复了2个存在于Airflow中的安全漏洞。对此，华云安建议用户及时更新修复。

【漏洞名称】Apache Airflow 存在多个漏洞

【漏洞编号】CVE-2022-40754,CVE-2022-40604

【风险等级】高危

【影响版本】

2.3.0 <= Apache Airflow < 2.4.0

【威胁描述】

l CVE-2022-40754 ：Apache Airflow 存在开放重定向漏洞

该漏洞由于/confirm 端点未对url 进行过滤导致存在开放重定向漏洞，攻击者可利用此漏洞进行网络钓鱼攻击。

l CVE-2022-40604 ：Apache Airflow 存在格式化字符串漏洞

该漏洞由于对 url 中的部分内容进行不必要的格式化，导致攻击者可利用此漏洞对 url 字符串进行信息提取，从而获取系统敏感信息。

【应对措施】

官方已发布更新修复，参考链接如下：

https://github.com/apache/airflow/releases