2025 年 Airflow 峰会将于 10 月 07-09 日召开。立即注册以获得早鸟票!

SQL 注入

之前,Airflow 发布过 CVE,例如 CVE-2025-27018 MySQL 提供程序核心函数中的 SQL 注入。这些 CVE 涉及的是不考虑执行者身份的 SQL 注入能力。Airflow 将不再为 SQL 注入漏洞发布 CVE,除非报告者能够演示其利用场景。例如,如果安全报告中唯一能够执行注入的攻击者是拥有 DAGs 文件夹访问权限的用户,则报告将被拒绝。提交 SQL 注入安全报告时,报告者必须说明能够利用该注入的用户是谁,以及该用户如何获得执行注入的权限。简单来说,如果用户拥有合法的写入和访问特定 DAG 的权限,那么该用户进行 SQL 注入的风险就不存在。

此条目是否有帮助?