文章总结： ApacheAirflowProvidersEdge3存在权限提升漏洞CVE-2025-67895，根本原因是开发阶段专用功能未正确隔离与权限控制，存在未公开的RPC接口允许DAG作者在Web服务器上下文执行代码，可能导致RCE。影响Airflow2.x环境中Edge3提供程序2.0.0及之前版本。建议立即卸载受影响组件，升级至Airflow3.x，加强输入验证与权限管理，启用安全审计日志，禁用开发功能。 综合评分： 78 文章分类： 漏洞预警,WEB安全,应用安全

【漏洞预警】Apache Airflow Providers Edge3权限提升漏洞(CVE-2025-67895)

cexlife

飓风网络安全

2025年12月19日 23:24 北京

漏洞描述:

该漏洞的根本原因在于开发阶段专用功能未正确隔离与权限控制,Edge3提供程序在Airflow 2.x中引入了一个非公开的RPC接口,允许DAG作者在Web服务器上下文中执行代码,严重违反最小权限原则。虽然该功能本意用于内部测试但因未做访问控制,一旦被外部用户或恶意DAG触发即可实现RCE,此外该漏洞的攻击面隐蔽性强仅在特定配置下生效增加了检测难度,攻击者可能通过上传恶意DAG文件触发漏洞进而获取服务器控制权

影响产品及版本:

产品名称:Apache Airflow（Apache Airflow Providers Edge3）

受影响版本:

Edge3 提供程序 2.0.0 及之前版本

仅在Apache Airflow 2.x环境中安装并配置了该提供程序时受影响

建议措施:

https://github.com/apache/airflow/pull/59143

立即卸载受影响组件：若当前使用的是 Apache Airflow 2.x 并安装了 Edge3 提供程序（版本 < 2.0.0），应立即卸载该组件

升级至 Airflow 3.x：推荐将系统升级至 Apache Airflow 3.x，新版本已移除对 Airflow 2.x的兼容性支持,且Edge3提供程序最低要求为Airflow 3从根本上规避此漏洞

加强输入验证与权限管理：对所有 DAG 定义文件进行严格审查，禁止非必要插件加载,限制DAG作者的权限范围,避免其具备执行系统级操作的能力

启用安全审计日志:监控Airflow Web服务器对RPC接口的调用行为,及时发现异常请求

禁用开发功能:在生产环境中禁用所有非正式发布的功能模块,尤其是未公开的API接口

参考链接:

https://www.openwall.com/lists/oss-security/2025/12/16/3

https://lists.apache.org/thread/hhnmmzkj5qx5gbk6pdkh8tcsx5oj1nqs

查看原文：《【漏洞预警】Apache Airflow Providers Edge3权限提升漏洞(CVE-2025-67895)》