Airflow 是一个使用 python 语言编写的 data pipeline 调度和监控工作流的平台。Airflow 是通过 DAG(Directed acyclic graph 有向无环图)来管理任务流程的任务调度工具, 不需要知道业务数据的具体内容,设置任务的依赖关系即可实现任务调度。
Apache Airflow Pinot Provider 是一个用于与 Apache Airflow hook 建立连接并执行封装的 pinot-admin.sh 脚本的工具包。
https://github.com/apache/airflow
在 4.0.0 之前的版本中的 PinotAdminHook 类由于对 cmd_path 参数(pinot-admin.sh 可执行文件的文件路径)限制不当导致存在命令注入漏洞。
apache-airflow-providers-apache-pinot < 4.0
Pinot providers通过run_cli来调用pinot-admin.sh执行命令,其中command最终进入到subprocess.Popen函数中。
airflow.providers.apache.pinot.hooks.pinot.PinotAdminHook.run_cli
从上面代码可以看出来,Command由self.cmd_path和传进来的cmd参数组成。在修复之前,self.cmd_path从conn中取值。而conn可以被攻击者控制
官方修复代码如下,该代码直接将self.cmd_path硬编码为pinot-admin.sh
综合分析,该漏洞利用条件为
1)具备设置恶意connection的权限
2)airflow中存在使用该provider的dag文件或者插件
官方已发布安全版本 4.0,建议升级至安全版本或以上。
https://nvd.nist.gov/vuln/detail/CVE-2022-38649
https://github.com/apache/airflow/pull/27641/commits/ec5eb427cc8b5e5320553c2555229d25ba519d49