漏洞背景

近日，嘉诚安全监测到Apache Airflow发布安全公告，漏洞编号为：CNNVD-202308-2164（CVE-2023-27604）。

Apache Airflow是美国阿帕奇（Apache）基金会的一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。

鉴于漏洞危害较大，嘉诚安全提醒相关用户尽快更新至安全版本，避免引发漏洞相关的网络安全事件。

漏洞详情

经研判，该漏洞为高危漏洞。该漏洞允许攻击者通过连接传递参数，从而有可能通过 "sqoop import--connect "进行RCE攻击，获取airflow服务器权限等。

危害影响

影响范围：

Apache Airflow Sqoop Provider<4.0.0

修复建议

根据影响版本中的信息，建议相关用户尽快更新至安全版本：

Apache Airflow Sqoop Provider >= 4.0.0

下载链接请参考：

https://airflow.apache.org/docs/apache-airflow-providers-apache-sqoop/stable/index.html#installation