近日，嘉诚安全监测到Apache Airflow 发布安全公告，Apache Airflow ODBC Provider和Apache Airflow JDBC Provider存在远程代码执行漏洞，漏洞编号为：CVE-2023-34395、CVE-2023-22886。

Airflow广泛应用于数据工程、数据分析、机器学习和任务自动化等领域，可以管理复杂的数据处理流程和任务调度，并提供可视化的界面和监控功能，以方便用户管理和监控任务的执行情况。它提供了一种灵活、可编程的方式来定义和执行各种类型的工作流，并支持任务间的依赖关系和调度策略，使得数据处理和任务自动化变得更加高效和可靠。

鉴于漏洞危害较大，嘉诚安全提醒相关用户尽快更新至安全版本，避免引发漏洞相关的网络安全事件。

1.CVE-2023-34395

Apache Airflow ODBC Provider远程代码执行漏洞，经研判，该漏洞为高危漏洞。在 ODBC hook 中，由于可控制的 ODBC 驱动程序参数，系统存在一个权限提升漏洞，允许攻击者加载任意的动态链接库，导致命令执行。

2.CVE-2023-22886

Apache Airflow JDBC Provider远程代码执行漏洞，经研判，该漏洞为高危漏洞。Apache Airflow JDBC Provider程序没有对URL的访问做出限制，可能导致攻击者远程代码执行不同类型的JDBC驱动程序，获取Airflow服务器权限。

受影响版本：

＜4.0.0版本

根据影响版本中的信息，建议相关用户尽快更新至安全版本，即4.0.0版本，下载链接请参考：

https://airflow.apache.org/docs/apache-airflow-providers-odbc/stable/index.html

https://airflow.apache.org/docs/apache-airflow-providers-jdbc/stable/index.html