Apache Airflow < 2.4.0 example dag 远程代码执行漏洞（CVE-2022-40127）【WAF防护运营】

Apache Airflow 是一个可编程，调度和监控的工作流平台，基于有向无环图(DAG)，Airflow 可以定义一组有依赖的任务，按照依赖依次执行。CVE-2022-40127 中，若攻击者可访问到Apache Airflow的后台UI，并且环境中存在默认dag的话，可构造恶意请求借助run_id 执行任意命令。

 

FOFA语法

title="Airflow" && country="CN"

默认端口8080

返回包指纹

<title>Airflow - DAGs</title>
<title>Airflow - Login</title>
https://airflow.apache.org
https://github.com/apache/airflow

HTTP流量攻击发现

path:/.*airflow.*/

POC扫描拦截

https://github.com/Mr-xn/CVE-2022-40127
请求参数包含".dnslog.pw"的全部拦截
请求路径包含"/airflow/"的全部拦截
请求路径前缀是"/airflow"的全部拦截
请求路径是"/api/v1/dags/example_bash_operator/dagRuns"的全部拦截

漏洞复现

Apache Airflow（CVE-2022-40127）漏洞复现
https://www.freebuf.com/articles/web/350696.html
CVE-2022-40127 Apache Airflow < 2.4.0 DAG RCE
https://mp.weixin.qq.com/s/uy4oFRr3SS7Mlu4KUXsnvA