Apache Airflow: BSI warnt vor RCE-Lücken
Das BSI hat eine Sicherheitswarnung für Apache Airflow veröffentlicht. Mehrere Schwachstellen in der Workflow-Management-Plattform ermöglichen es Angreifern, beliebigen Programmcode auszuführen, Sicherheitsvorkehrungen zu umgehen und vertrauliche Informationen offenzulegen.
Betroffene Schwachstellen
Die Sicherheitswarnung umfasst mehrere CVEs, darunter als schwerwiegendste CVE-2026-42359 – eine Remote-Code-Execution-Lücke im XCom-PATCH-Endpunkt. Ein authentifizierter Nutzer mit XCom-Schreibrechten kann über den PATCH-Pfad reservierte Schlüsselnamen wie return_value manipulieren und so Code auf dem Airflow-Triggerer ausführen. Diese Lücke ist ein Fix-Bypass von CVE-2026-33858, der zuvor nur den POST-Pfad abgedeckt hatte.
Weitere relevante CVEs:
- CVE-2026-33858 – Unsichere Deserialisierung im XCom-POST-Endpunkt
- CVE-2026-25917 – Codeausführung im Webserver durch crafted XCom-Payloads (niedrig, da DAG-Autoren vertrauenswürdig)
Der CVSS Base Score beträgt 8,8 (hoch). Das BSI stuft die Schwachstelle als Risikostufe 4 (hoch) ein, Remoteangriff ist möglich.
Betroffene Systeme
- Apache Airflow < 3.2.2
- Deployments mit untrusted DAG-Autoren
- Deployments, die Tasks zum Triggerer deferring nutzen
Gegenmaßnahmen
Das Update auf Apache Airflow 3.2.2 oder neuer schließt alle bekannten Angriffsvektoren. Zusätzlich empfiehlt das BSI:
- XCom-Schreibrechte auf vertrauenswürdige Nutzer beschränken
- DAGs prüfen, die zum Triggerer deferren, auf Exposition gegenüber untrusted Input
- Bei Verdacht auf Kompromittierung: Credentials rotieren, die dem Triggerer zugänglich sind
Quellen
Quelle: BSI Warn- und Informationsdienst (WID), Stand 07.07.2026
Kommentar abschicken