一、 漏洞 CVE-2022-40127 基础信息
漏洞信息
                                        # Apache Airflow 小于2.4.0版本中的bash示例存在RCE漏洞

## 概述
Apache Airflow 中的 Example Dags 存在一个漏洞,允许具有 UI 访问权限并能触发 DAGs 的攻击者通过手动提供的 run_id 参数执行任意命令。

## 影响版本
Apache Airflow 版本低于 2.4.0。

## 细节
攻击者利用此漏洞可以通过手动提供的 `run_id` 参数执行任意命令。

## 影响
此漏洞允许攻击者执行任意命令,可能导致系统被完全控制或其他严重安全问题。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Apache Airflow <2.4.0 has an RCE in a bash example
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability in Example Dags of Apache Airflow allows an attacker with UI access who can trigger DAGs, to execute arbitrary commands via manually provided run_id parameter. This issue affects Apache Airflow Apache Airflow versions prior to 2.4.0.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
对生成代码的控制不恰当(代码注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
Apache Airflow 代码注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Apache Airflow是美国阿帕奇(Apache)基金会的一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。 Apache Airflow存在代码注入漏洞,该漏洞源于其Example Dags允许具有UI访问权限的攻击者触发DAGs,通过手动提供run_id参数执行任意命令。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码注入
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2022-40127 的公开POC
# POC 描述 源链接 神龙链接
1 Apache Airflow < 2.4.0 DAG example_bash_operator RCE POC https://github.com/Mr-xn/CVE-2022-40127 POC详情
2 CVE-2022-40127 PoC and exploit https://github.com/jakabakos/CVE-2022-40127-Airflow-RCE POC详情
3 A vulnerability in Example Dags of Apache Airflow allows an attacker with UI access who can trigger DAGs, to execute arbitrary commands via manually provided run_id parameter. This issue affects Apache Airflow Apache Airflow versions prior to 2.4.0. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2022/CVE-2022-40127.yaml POC详情
4 None https://github.com/Threekiii/Awesome-POC/blob/master/Web%E5%BA%94%E7%94%A8%E6%BC%8F%E6%B4%9E/Apache%20Airflow%20%E8%BF%9C%E7%A8%8B%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E%20CVE-2022-40127.md POC详情
三、漏洞 CVE-2022-40127 的情报信息