Airflow

Die Schwachstelle betrifft Apache Airflow, eine Plattform zur Steuerung und Planung von Arbeitsabläufen. Sie steckt nicht im Kern selbst, sondern in einem der Beispiel-DAGs – also einer der mitgelieferten Beispiel-Workflows, die zur Veranschaulichung beigelegt werden. Über diesen Beispiel-Workflow lässt sich Code beziehungsweise ein Befehl einschleusen: Jeder bereits angemeldete Benutzer kann beliebige Befehle ausführen, und zwar unter dem Systemkonto, mit dem der Airflow-Worker oder -Scheduler läuft. Welches Konto das ist, hängt vom eingesetzten Executor ab. Der Angreifer erlangt damit dieselben Rechte wie der Airflow-Dienst und kann auf dem betroffenen System eigene Kommandos absetzen. Voraussetzung ist lediglich ein gültiges Benutzerkonto; eine besondere Berechtigung ist nicht erforderlich. Nicht betroffen sind Installationen, bei denen die mitgelieferten Beispiele in der Konfiguration deaktiviert wurden – dann fehlt der verwundbare Beispiel-Workflow und der Angriffsweg ist verschlossen.