【漏洞通告】Apache Airflow DAG 反序列化远程代码执行漏洞(CVE-2026-33264)
发布时间 2026-07-08一、漏洞概述

Apache Airflow是由Apache软件基金会维护的开源工作流编排与任务调度平台,广泛应用于数据工程、数据分析、机器学习和自动化任务管理场景。Airflow通过DAG(Directed Acyclic Graph,有向无环图)定义任务流程,支持任务调度、依赖管理、执行监控及扩展插件机制,可与多种数据库、云服务和数据处理平台集成。
2026年7月8日,启明星辰安全应急响应中心(VSRC)监测到Apache Airflow DAG反序列化远程代码执行漏洞。该漏洞位于BaseSerialization.deserialize()反序列化处理逻辑,由于组件未限制import_string()对攻击者可控类路径的加载,导致具有DAG编写权限的用户可在序列化DAG中嵌入恶意触发逻辑。当Scheduler或API Server加载恶意DAG时,攻击代码可能在高权限进程中执行,突破Airflow原有的DAG作者代码隔离安全边界,进一步获取服务器控制权限、窃取敏感数据或影响任务调度安全。
二、影响范围
apache-airflow < 3.3.0
三、安全措施
3.1 升级版本官方已发布修复补丁,以修复该漏洞。
apache-airflow >= 3.3.0
下载链接:https://github.com/apache/airflow/releases/
3.2 临时措施
暂无。
3.3 通用建议
定期更新系统补丁,减少系统漏洞,提升服务器的安全性。
加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。
使用企业级安全产品,提升企业的网络安全性能。
加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。
启用强密码策略并设置为定期修改。
3.4 参考链接
https://lists.apache.org/thread/otvdw8qt2y7xy2n5nq9xby9ky4rf5ltj/
https://nvd.nist.gov/vuln/detail/CVE-2026-33264


京公网安备11010802024551号