SQL 注入
此前,Airflow 曾发布类似 CVE-2025-27018 MySQL 提供程序核心函数的 SQL 注入 的 CVE。该 CVE 关注的是在不考虑执行者身份的情况下进行 SQL 注入的能力。Airflow 将不再为 SQL 注入案例发布 CVE,除非报告者能够展示可利用的攻击场景。例如,如果在安全报告中唯一能够执行注入的主体是拥有 Dags 文件夹访问权限的 Actor,则该报告将被驳回。提交 SQL 注入安全报告时,报告者必须说明能够利用注入的用户是谁,以及该用户是如何获得执行该操作的权限的。简单来说,如果用户已合法拥有写入和访问特定 Dag 的权限,则不存在该用户进行 SQL 注入的风险。