1.产品描述：

    Apache Airflow是一个开源的平台，用于开发、调度和监控面向批处理的工作流。Airflow的可扩展的Python框架使你能够建立与几乎任何技术连接的工作流程。一个网络接口有助于管理你的工作流程的状态。Airflow可以以多种方式部署，从你的笔记本电脑上的单一进程到分布式设置，甚至支持最大的工作流程。

2.影响产品或组件及版本：

    Apache Airflow Hive Provider < 4.1.0 

3.受影响资产情况：

通过资产测绘系统fofa发现，全球共9482个使用记录，其中第一名美国6012个，第二名爱尔兰1134个，第三名新加坡380个

4.技术细节表述：

    Apache Airflow Hive Provider 中操作系统命令（“操作系统命令注入”）漏洞中使用的特殊元素的不当中和，Apache Airflow 允许攻击者在任务执行上下文中执行任意命令，而无需对 DAG 文件进行写访问。

5.修补措施：

厂商已发布了漏洞修复程序，安全版本：Apache Airflow Hive Provider >= 4.1.0

Pip在线升级Apache Airflow Providers Apache Hive：pip install –upgrade apache-airflow-providers-apache-hive

pip离线升级（需已安装wheel 库，安装命令：pip install wheel）：

        官方下载地址：https://www.apache.org/dyn/closer.lua/airflow/providers/apache_airflow_providers_apache_hive-4.1.0-py3-none-any.whl

        若访问较慢可转到斗象漏洞情报中心搭建的镜像站进行下载：http://124.70.137.26:8080/Apache/Apache%20Airflow/Apache%20Airflow%20Hive%20Provider%20%e5%91%bd%e4%bb%a4%e6%b3%a8%e5%85%a5(CVE-2022-41131)/

6.漏洞来源：

https://vip.riskivy.com/detail/1594888655405715456

注：该漏洞已有CVE漏洞编号，暂无CNNVD漏洞编号