Airflow Drill Provider中存在不正確的輸入驗證漏洞，漏洞編號：CVE-2023-39553，漏洞風險等級：高危。

該漏洞允許攻擊者在與DrillHook建立連接時傳入惡意參數，從而讀取Airflow服務器上的文件,獲取敏感信息。

Airflow是一個使用python語言編寫的data pipeline調度和監控工作流的平臺，通過DAG（Directed acyclic graph有向無環圖）來管理任務流程的任務調度工具，不需要知道業務數據的具體內容，設置任務的依賴關系即可實現任務調度。

（一）漏洞影響范圍：

Apache Airflow Drill Provider < 2.4.3

（二）漏洞修復建議：

一是加強系統和網絡的訪問控制，修改防火墻策略，不將非必要服務暴露于公網；

二是通過WAF監測外網對Jackrabbit webapp/standalone中RMI特殊接口API路徑的訪問;

三是建議用戶留意官方公告，及時升級到最新版本：https://airflow.apache.org。