anonhaven

CVE-2025-69219

HIGH CVSS 3.1: 8,8 EPSS 0.02%
Обновлено 9 марта 2026
Параметр Значение
CVSS 8,8 (HIGH)
Устранено в версии 6.0.0
Тип уязвимости CWE-913
Публичный эксплойт Нет

Пользователь, имеющий доступ к БД, может создать запись в базе данных, которая приведет к выполнению кода на Triggerer, что дает любому, у кого есть доступ к БД, те же права, что и Dag Author. Поскольку прямой доступ к БД не является обычным и рекомендуется для Airflow, вероятность какого-либо ущерба невелика. Вам следует обновить поставщика до версии 6.0.0, чтобы избежать даже этого риска.

Показать оригинальное описание (EN)

A user with access to the DB could craft a database entry that would result in executing code on Triggerer - which gives anyone who have access to DB the same permissions as Dag Author. Since direct DB access is not usual and recommended for Airflow, the likelihood of it making any damage is low. You should upgrade to version 6.0.0 of the provider to avoid even that risk.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-913

Ссылки 3

https://github.com/apache/airflow/pull/61662
security@apache.org
https://lists.apache.org/thread/zjkfb2njklro68tqzym092r4w65m5dq0
security@apache.org
http://www.openwall.com/lists/oss-security/2026/03/09/1
af854a3a-2127-422b-91ae-364da2661108
Share Post Share Share Share