Airflow Drill Provider中存在不正確的輸入驗(yàn)證漏洞，漏洞編號(hào)：CVE-2023-39553，漏洞風(fēng)險(xiǎn)等級(jí)：高危。

該漏洞允許攻擊者在與DrillHook建立連接時(shí)傳入惡意參數(shù)，從而讀取Airflow服務(wù)器上的文件,獲取敏感信息。

Airflow是一個(gè)使用python語(yǔ)言編寫的data pipeline調(diào)度和監(jiān)控工作流的平臺(tái)，通過(guò)DAG（Directed acyclic graph有向無(wú)環(huán)圖）來(lái)管理任務(wù)流程的任務(wù)調(diào)度工具，不需要知道業(yè)務(wù)數(shù)據(jù)的具體內(nèi)容，設(shè)置任務(wù)的依賴關(guān)系即可實(shí)現(xiàn)任務(wù)調(diào)度。

（一）漏洞影響范圍：

Apache Airflow Drill Provider < 2.4.3

（二）漏洞修復(fù)建議：

一是加強(qiáng)系統(tǒng)和網(wǎng)絡(luò)的訪問(wèn)控制，修改防火墻策略，不將非必要服務(wù)暴露于公網(wǎng)；

二是通過(guò)WAF監(jiān)測(cè)外網(wǎng)對(duì)Jackrabbit webapp/standalone中RMI特殊接口API路徑的訪問(wèn);

三是建議用戶留意官方公告，及時(shí)升級(jí)到最新版本：https://airflow.apache.org。