Vulnerabilidad en Apache Airflow de Apache Software Foundation (CVE-2024-56373)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-94 Control incorrecto de generación de código (Inyección de código)

Fecha de publicación:

24/02/2026

Última modificación:

24/02/2026

Descripción

El Autor de DAG (quien ya tiene bastantes permisos) podría manipular la base de datos de Airflow 2 de manera que pueda ejecutar código arbitrario en el contexto del servidor web, lo cual normalmente no deberían poder hacer, lo que lleva a una potencial ejecución remota de código en el contexto del servidor web (lado del servidor) como resultado de que un usuario vea información histórica de tareas.<br /> <br /> La funcionalidad responsable de ello (historial de plantillas de registro) ha sido deshabilitada por defecto en 2.11.1 y los usuarios deberían actualizar a Airflow 3 si quieren seguir usando el historial de plantillas de registro. También pueden modificar manualmente los nombres de los archivos de registro históricos si quieren ver los registros históricos que fueron generados antes del último cambio de plantilla de registro.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.40 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto