Airflow Drill Provider中存在不正確的輸入驗(yàn)證漏洞，漏洞編號：CVE-2023-39553，漏洞風(fēng)險(xiǎn)等級：高危。

該漏洞允許攻擊者在與DrillHook建立連接時(shí)傳入惡意參數(shù)，從而讀取Airflow服務(wù)器上的文件,獲取敏感信息。

Airflow是一個(gè)使用python語言編寫的data pipeline調(diào)度和監(jiān)控工作流的平臺，通過DAG（Directed acyclic graph有向無環(huán)圖）來管理任務(wù)流程的任務(wù)調(diào)度工具，不需要知道業(yè)務(wù)數(shù)據(jù)的具體內(nèi)容，設(shè)置任務(wù)的依賴關(guān)系即可實(shí)現(xiàn)任務(wù)調(diào)度。

（一）漏洞影響范圍：

Apache Airflow Drill Provider < 2.4.3

（二）漏洞修復(fù)建議：

一是加強(qiáng)系統(tǒng)和網(wǎng)絡(luò)的訪問控制，修改防火墻策略，不將非必要服務(wù)暴露于公網(wǎng)；

二是通過WAF監(jiān)測外網(wǎng)對Jackrabbit webapp/standalone中RMI特殊接口API路徑的訪問;

三是建議用戶留意官方公告，及時(shí)升級到最新版本：https://airflow.apache.org。