Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en dag-factory (CVE-2025-54415)

Gravedad CVSS v4.0:
CRÍTICA
Tipo:
CWE-78 Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
26/07/2025
Última modificación:
29/07/2025

Descripción

dag-factory es una librería para Apache Airflow® que permite construir DAGs declarativamente mediante archivos de configuración. En las versiones 0.23.0a8 y anteriores, se identificó una vulnerabilidad de alta gravedad en el flujo de trabajo cicd.yml del repositorio de GitHub astronomer/dag-factory. Este flujo de trabajo, especialmente cuando se activa mediante pull_request_target, es susceptible de explotación, lo que permite a un atacante ejecutar código arbitrario en el entorno de ejecución de GitHub Actions. Esta configuración incorrecta permite a un atacante establecer un shell inverso, extraer información confidencial, incluido el token GITHUB_TOKEN con privilegios elevados, y finalmente obtener el control total del repositorio. Esto se ha corregido en la versión 0.23.0a9.

Impacto

Vector 4.0
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:U CVSS v4.0 Severidad y Métricas:

Puntuación base: 9.10 CRÍTICA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:U

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Alto
Confidentiality (SC): Alto
Integrity (SI): Alto
Availability (SA): Alto
Exploit Maturity (E): Unreported

Puntuación base 4.0
9.10
Gravedad 4.0
CRÍTICA

Referencias a soluciones, herramientas e información