SQL 注入¶
之前,Airflow 发布过 CVE,例如 CVE-2025-27018 MySQL 提供程序核心函数中的 SQL 注入。这些 CVE 涉及的是不考虑执行者身份的 SQL 注入能力。Airflow 将不再为 SQL 注入漏洞发布 CVE,除非报告者能够演示其利用场景。例如,如果安全报告中唯一能够执行注入的攻击者是拥有 DAGs 文件夹访问权限的用户,则报告将被拒绝。提交 SQL 注入安全报告时,报告者必须说明能够利用该注入的用户是谁,以及该用户如何获得执行注入的权限。简单来说,如果用户拥有合法的写入和访问特定 DAG 的权限,那么该用户进行 SQL 注入的风险就不存在。