项目介绍

Airflow 是一个使用 python 语言编写的 data pipeline 调度和监控工作流的平台。Airflow 是通过 DAG（Directed acyclic graph 有向无环图）来管理任务流程的任务调度工具， 不需要知道业务数据的具体内容，设置任务的依赖关系即可实现任务调度。

Apache Airflow Pinot Provider 是一个用于与 Apache Airflow hook 建立连接并执行封装的 pinot-admin.sh 脚本的工具包。

项目地址

https://github.com/apache/airflow

漏洞概述

在 4.0.0 之前的版本中的 PinotAdminHook 类由于对 cmd_path 参数（pinot-admin.sh 可执行文件的文件路径）限制不当导致存在命令注入漏洞。

影响版本

apache-airflow-providers-apache-pinot < 4.0

漏洞分析

Pinot providers通过run_cli来调用pinot-admin.sh执行命令，其中command最终进入到subprocess.Popen函数中。

airflow.providers.apache.pinot.hooks.pinot.PinotAdminHook.run_cli

从上面代码可以看出来，Command由self.cmd_path和传进来的cmd参数组成。在修复之前，self.cmd_path从conn中取值。而conn可以被攻击者控制

官方修复代码如下，该代码直接将self.cmd_path硬编码为pinot-admin.sh

 

综合分析，该漏洞利用条件为

1）具备设置恶意connection的权限

2）airflow中存在使用该provider的dag文件或者插件

修复方式

官方已发布安全版本 4.0，建议升级至安全版本或以上。

参考连接

https://nvd.nist.gov/vuln/detail/CVE-2022-38649

https://github.com/apache/airflow/pull/27641/commits/ec5eb427cc8b5e5320553c2555229d25ba519d49