В конце июля 2025 года была подтверждена и опубликована информация о критической уязвимости в популярной Python-библиотеке dag-factory, которая используется для динамического создания DAG (Directed Acyclic Graph) в Apache Airflow. Уязвимость, получившая идентификаторы CVE-2025-54415 и BDU:2026-00108, связана с недостаточной обработкой пользовательского ввода в функции "pull_request_target" и позволяет удаленному злоумышленнику выполнить произвольный код на целевой системе. Поскольку библиотека широко применяется для автоматизации оркестрации данных, данная проблема представляет значительный риск для компаний, использующих Airflow в своих конвейерах обработки.
Детали уязвимости
Техническая суть уязвимости классифицируется как CWE-78 или внедрение команд операционной системы. Конкретно, ошибка заключалась в том, что функция "pull_request_target" не выполняла должной санитизации специальных элементов, передаваемых в команды оболочки. Следовательно, атакующий мог сформировать специальный запрос, содержащий вредоносные команды, которые затем выполнялись бы на сервере с привилегиями процесса, использующего уязвимую библиотеку. Это классический пример инъекции, приводящий к полному компрометированию хоста.
Оценка по всем версиям системы CVSS подтверждает исключительную опасность данной уязвимости. Баллы составляют 10.0 для CVSS 2.0, 9.8 для CVSS 3.1 и 9.1 для CVSS 4.0. Такие высокие оценки присваиваются редко и указывают на максимальную серьезность. Уязвимость характеризуется полным отсутствием требований к аутентификации (PR:N), не требует взаимодействия с пользователем (UI:N) и затрагивает все аспекты конфиденциальности, целостности и доступности как самой системы, так и связанных компонентов. Проще говоря, успешная эксплуатация дает злоумышленнику полный контроль над системой.
Подверженными объявлены все версии библиотеки dag-factory до 0.23.0a9. Разработчики из сообщества свободного программного обеспечения оперативно отреагировали на сообщение об уязвимости. Важно отметить, что на момент публикации новости уязвимость уже устранена в актуальных версиях программного обеспечения. Соответственно, основной и единственной рекомендованной мерой защиты является немедленное обновление библиотеки dag-factory до версии 0.23.0a9 или новее.
Особую озабоченность у экспертов по кибербезопасности вызывает тот факт, что, согласно данным Банка данных угроз (BDU), для данной уязвимости уже существует публично доступный эксплойт. Наличие готового к использованию кода для атаки существенно снижает порог входа для злоумышленников, в том числе для малоопытных хакеров. Это автоматически увеличивает вероятность массовых сканирований и попыток эксплуатации. Следовательно, окно для применения исправления крайне ограничено.
Угроза особенно актуальна для сред, где Apache Airflow используется для управления критически важными бизнес-процессами, например, в финансовой аналитике, обработке больших данных или машинном обучении. Получение контроля над таким оркестратором позволяет атакующему не только похитить конфиденциальные данные, но и нарушить или модифицировать выполнение рабочих процессов, что может привести к существенным финансовым и репутационным потерям. Кроме того, злоумышленник может использовать скомпрометированную систему для достижения устойчивости (persistence) в корпоративной сети и дальнейшего продвижения к другим активам.
Сообщество рекомендует администраторам, которые используют dag-factory в своих проектах, безотлагательно проверить версию установленной библиотеки и применить обновление. Дополнительно, в рамках общего усиления безопасности, следует придерживаться принципа минимальных привилегий, запуская процессы Airflow с ограниченными правами. Также полезно настроить мониторинг подозрительной активности, например, необычных исходящих сетевых соединений или выполнения несанкционированных процессов на серверах, где развернут Airflow. Эти меры могут помочь в обнаружении инцидента, даже если атака окажется успешной.
Подводя итог, уязвимость CVE-2025-54415 в библиотеке dag-factory является серьезной угрозой, требующей незамедлительных действий. Ее критический уровень, наличие публичного эксплойта и распространенность уязвимого компонента в инфраструктурах для обработки данных создают идеальные условия для целевых атак. Своевременное обновление остается самым эффективным способом защититься от потенциального взлома. Все детали и официальные рекомендации от сопровождающих проекта доступны в соответствующем бюллетене безопасности на GitHub.
Ссылки
- https://bdu.fstec.ru/vul/2026-00108
- https://www.cve.org/CVERecord?id=CVE-2025-54415
- https://github.com/astronomer/dag-factory/security/advisories/GHSA-g5hx-xv45-9whg
- https://github.com/astronomer/dag-factory/pull/460
- https://github.com/astronomer/dag-factory/pull/466
- https://github.com/astronomer/dag-factory/commit/751c0e58369e784f6a924347e381a705ea8133fe
- https://vuldb.com/?id.317799
