خانه » CVE-2025-67895
هشدار‌های سایبری

CVE-2025-67895

Apache Airflow Providers Edge3: Edge3 Worker RPC RCE on Airflow 2

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 202 بازدید
هشدار سایبری CVE-2025-67895
  • شناسه CVE-2025-67895 :CVE
  • CWE-669 :CWE
  • yes :Advisory
  • منتشر شده: دسامبر 17, 2025
  • به روز شده: دسامبر 17, 2025
  • امتیاز: 9.8
  • نوع حمله: Trust Boundary Violation
  • اثر گذاری: Remote code execution(RCE)
  • حوزه: برنامه نویسی
  • برند: Apache Software Foundation
  • محصول: Apache Airflow Providers Edge3
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

یک آسیب‌پذیری اجرای کد از راه دور در Apache Airflow Providers Edge3 وجود دارد که در صورت نصب و پیکربندی این Provider روی Airflow 2، باعث فعال شدن ناخواسته یک رابط برنامه‌نویسی غیررسمی و صرفاً توسعه‌ای می‌شود. این وضعیت به نویسنده DAG اجازه می‌دهد کد دلخواه را در محیط وب‌سرور Airflow اجرا کند؛ عملکردی که برخلاف مدل امنیتی مورد انتظار است و می‌تواند منجر به نفوذ موفق به سامانه شود.

توضیحات

آسیب‌پذیری CVE-2025-67895 در Apache Airflow Providers Edge3 ناشی از انتقال نادرست منابع و دسترسی‌ها بین حوزه‌های امنیتی مطابق با CWE-669 است و در شرایط خاص می‌تواند منجر به اجرای کد دلخواه از راه دور (RCE) در محیط Apache Airflow 2 شود. این آسیب‌پذیری تنها زمانی قابل بهره‌برداری است که Edge3 Provider در نسخه‌های پیش از 2.0.0 روی Airflow 2 نصب و پیکربندی شده باشد.

پشتیبانی Edge3 در Airflow 2 همواره در سطح توسعه و آزمایش (Development-only) بوده و هرگز به‌صورت رسمی منتشر نشده است. با این حال، نصب و فعال‌سازی این Provider در Airflow 2 به‌طور ناخواسته موجب فعال شدن یک رابط برنامه‌نویسی غیرعمومی (non‑public API) می‌شود که در جریان توسعه برای آزمایش ارتباطات RPC مربوط به Edge Worker مورد استفاده قرار می‌گرفت. این API به‌صورت پیش‌فرض نباید در محیط‌های عملیاتی در دسترس باشد، اما در این سناریو بدون اعمال محدودیت‌های امنیتی لازم فعال می‌شود.

فعال شدن این API آزمایشی باعث عبور از مرزهای امنیتی تعریف‌شده در معماری Airflow شده و منجر به انتقال نادرست دسترسی‌ها و منابع از حوزه داخلی وب‌سرور به حوزه نویسنده DAG می‌شود. در نتیجه، نویسنده DAG قادر خواهد بود از طریق این API غیرعمومی، کد دلخواه خود را در زمینه وب‌سرور Airflow اجرا کند؛ در حالی که طبق مدل امنیتی Airflow، نویسنده DAG نباید چنین سطحی از دسترسی و اختیار اجرایی در وب‌سرور داشته باشد. این وضعیت به‌طور مستقیم اصل جداسازی امنیتی کامپوننت‌های سامانه را نقض کرده و می‌تواند منجر به نفوذ موفق به سیستم شود.

دامنه تأثیر این آسیب‌پذیری محدود به محیط‌هایی است که Edge3 Provider به‌طور مشخص روی Airflow 2 نصب و پیکربندی شده باشد. استفاده از Edge Provider در Airflow 3 مانع بروز این آسیب‌پذیری می‌شود. از نسخه 2.0.0 به بعد، Edge3 Provider تنها از Airflow نسخه 3 به بالا پشتیبانی می‌کند و تمامی کدهای آسیب‌پذیر مربوط به Airflow 2 حذف شده‌اند؛ بنابراین استفاده از این Provider روی Airflow 2 عملاً غیرممکن است.

در نتیجه، به کاربران توصیه می‌شود در صورت استفاده از Edge3 Provider روی Airflow 2، این Provider را فوراً حذف کرده و از Airflow 3 استفاده کنند تا ریسک اجرای کد دلخواه، نقض مرزهای امنیتی و نفوذ به سامانه به‌طور کامل برطرف شود.

CVSS

Score Severity Version Vector String
9.8 CRITICAL 3.1 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

لیست محصولات آسیب پذیر

Versions Product
affected from 0 before 2.0.0 Apache Airflow Providers Edge3

لیست محصولات بروز شده

Versions Product
2.0.0 Apache Airflow Providers Edge3

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Apache Software و Apache Airflow را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google

(Total Pages)

 Search Query (Dork) Product
7,620 site:.ir “Apache Software” Apache Software
3,880 site:.ir “Apache Airflow” Apache Airflow

نتیجه گیری

این آسیب‌پذیری با شدت بحرانی در Apache Airflow Providers Edge3، امکان اجرای کد دلخواه از راه دور را در محیط‌های مبتنی بر Airflow 2 فراهم می‌کند و در شرایط خاص می‌تواند منجر به نفوذ موفق به سامانه شود. با توجه به انتشار پچ رسمی و حذف کامل کدهای آسیب‌پذیر، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش ریسک الزامی است:

  • به‌روزرسانی و ارتقای فوری: در صورت استفاده از Edge3 Provider روی Airflow 2، این Provider باید فوراً حذف شود و از Apache Airflow 3 استفاده گردد. Edge3 Provider از نسخه 0.0به بعد تنها با Airflow 3 سازگار است و کدهای آسیب‌پذیر مرتبط با Airflow 2 به‌طور کامل حذف شده‌اند. این اقدام اصلی‌ترین، ساده‌ترین و مؤثرترین روش برای رفع کامل آسیب‌پذیری است و باید در اولویت قرار گیرد.
  • عدم استفاده از Edge3 در Airflow 2: Edge3 Provider تحت هیچ شرایطی نباید در محیط‌های عملیاتی مبتنی بر Airflow 2 نصب یا فعال شود، حتی در سناریوهای آزمایشی یا نیمه‌توسعه‌ای، زیرا فعال شدن APIهای غیرعمومی ریسک امنیتی بالایی ایجاد می‌کند.
  • بازبینی Providerهای نصب‌شده: کلیه Providerهای نصب‌شده در Airflow بررسی شوند تا هیچ ماژول توسعه‌ای، آزمایشی یا غیررسمی که APIهای داخلی را فعال می‌کند در محیط عملیاتی وجود نداشته باشد.
  • محدودسازی دسترسی نویسندگان DAG: دسترسی نقش نویسنده DAG باید به‌صورت سخت‌گیرانه محدود شود و از اعطای هرگونه دسترسی غیرضروری به وب‌سرور، فراخوانی های از راه دور (RPC) یا APIهای داخلی جلوگیری شود.
  • ایزوله‌سازی کامپوننت‌ها: اجرای Airflow در محیط‌های ایزوله مانند Docker یا Kubernetes همراه با سیاست‌های سخت‌گیرانه شبکه (Network Policies) و محدودسازی ارتباطات داخلی بین Webserver، Scheduler و Workerها توصیه می‌شود.
  • مانیتورینگ و ثبت لاگ امنیتی: لاگ‌های وب‌سرور Airflow و فراخوانی‌های RPC به‌طور مستمر نظارت شوند تا هرگونه الگوی غیرعادی یا تلاش برای اجرای کد شناسایی شود. فعال‌سازی لاگ‌های امنیتی با سطح جزئیات مناسب می‌تواند در شناسایی زودهنگام حملات مؤثر باشد.
  • آموزش تیم‌های توسعه و عملیات: تیم‌های توسعه و عملیات باید نسبت به ریسک استفاده از Providerهای توسعه‌ای و تفاوت محیط‌های آزمایشی و عملیاتی در Airflow آگاه شوند تا از تکرار چنین سناریوهایی جلوگیری شود.

اجرای این اقدامات، به‌ویژه حذف Edge3 Provider از Airflow 2 و ارتقا به Airflow 3، ریسک بهره‌برداری از این آسیب‌پذیری را به حداقل رسانده و از نقض مرزهای امنیتی و اجرای کد دلخواه در زیرساخت‌های مبتنی بر Apache Airflow جلوگیری می‌کند.

امکان استفاده در تاکتیک های Mitre Attack (در زمان اجرای حمله)

Execution (TA0002)
در مرحله اجرا، مهاجم با تکیه بر دسترسی نویسنده DAG و وجود API غیرعمومی فعال‌شده توسط Edge3 Provider، کد مخرب خود را به صورت بخشی از منطق DAG یا تعامل با رابط RPC لبه تزریق کرده و آن را به‌گونه‌ای طراحی می‌کند که در کانتکست وب‌سرور Airflow اجرا شود شرط لازم برای این کار امکان فراخوانی رابط توسعه‌ای Edge3 و نبود کنترل‌های سختگیرانه روی محتوای کد قابل اجرا است. در این وضعیت، مرز امنیتی میان محیط تعریف جریان‌کار و محیط اجرای وب‌سرور نقض شده و کد مهاجم به‌صورت Remote Code Execution در بستر Airflow 2 اجرا می‌شود، در حالی‌که در مدل امنیتی مورد انتظار، چنین سطحی از دسترسی برای نویسنده DAG پیش‌بینی نشده است.

Persistence (TA0003)
پس از موفقیت در اجرای کد، مهاجم می‌تواند با استفاده از همان سطح دسترسی به وب‌سرور Airflow، سازوکارهایی برای ماندگاری ایجاد کند؛ برای نمونه با تکیه بر امکان تغییر فایل‌های پیکربندی یا اسکریپت‌های مورد استفاده در دامنه Airflow، ساختار DAGها را طوری اصلاح می‌کند که در اجرای‌های بعدی نیز کد دلخواه او فراخوانی شود، مشروط بر این‌که سیاست‌های استقرار و کنترل نسخه در سازمان اجازه تغییر مستمر فایل‌های DAG یا کدهای جانبی را بدهند. در چنین شرایطی، حتی اگر نشست اولیه مهاجم قطع شود، اجرای خودکار DAGها در آینده می‌تواند به عنوان نقطه بازگشت و حفظ حضور غیرمجاز در سامانه عمل کند.

(TA0005) Defense Evasion
در گام‌های بعدی، مهاجم با استفاده از توان اجرای کد در وب‌سرور Airflow، می‌کوشد ردپای خود را پنهان کند؛ برای مثال، در صورت نبود نظارت متمرکز و غیرقابل‌تغییر بر رویدادها، می‌تواند لاگ‌های محلی مرتبط با اجرای DAG یا فراخوانی API توسعه‌ای را دستکاری یا پاک‌سازی کند یا محتوای DAGها را به‌گونه‌ای تغییر دهد که رفتار مخرب در میان منطق عادی پردازش داده‌ها پنهان شود. تحقق این تاکتیک مشروط به آن است که محیط Airflow به سامانه‌های ثبت و تحلیل لاگ خارج از کنترل مهاجم وابسته نباشد و دسترسی نوشتن روی فایل‌های لاگ یا پیکربندی در دسترس وب‌سرور قرار گرفته باشد.

(TA0007) Discovery
پس از تثبیت موضع، مهاجم می‌تواند با اتکا به کد قابل اجرا در محیط وب‌سرور، اقدام به شناسایی گسترده‌تر محیط کند؛ برای نمونه، شناسایی DAGهای موجود، بررسی تنظیمات اتصال به سرویس‌های خارجی و کشف ارتباطات Airflow با سایر سامانه‌های زیرساختی، مشروط بر اینکه محدودیتی در سطح شبکه یا پالیسی‌های اجرا مانع از برقراری چنین اتصالاتی نشود. این شناسایی، در قالب فراخوانی‌های استاندارد یا شبه‌استاندارد به APIها و منابع داخلی انجام می‌شود و به مهاجم تصویری دقیق‌تر از گستره دسترسی‌های قابل‌سوءاستفاده در پی نقض مرزهای امنیتی می‌دهد.

(Impact ) TA0040
پیامدها می‌تواند شامل اجرای کد دلخواه در سطح وب‌سرور Airflow، نقض کامل مرزهای امنیتی میان نقش نویسنده DAG و لایه اجرای سامانه، دسترسی غیرمجاز به داده‌های پردازش‌شده در جریان‌کارها، تغییر یا دستکاری خروجی‌های پردازشی، و در مواردی، سرریز اثر به سایر سامانه‌های متصل به Airflow باشد. این وضعیت به طور بالقوه محرمانگی داده‌ها را با امکان مشاهده یا استخراج اطلاعات حساس، یکپارچگی را با دستکاری منطق DAGها یا نتایج پردازش‌ها، و در دسترس‌پذیری را با ایجاد اختلال در زمان‌بندی و اجرای پایپ‌لاین‌ها یا از کار انداختن سرویس Airflow تهدید می‌کند و در مجموع می‌تواند به نفوذ گسترده و پایدار در زیرساخت داده‌محور سازمان منجر شود

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-67895
  2. https://www.cvedetails.com/cve/CVE-2025-67895/
  3. https://lists.apache.org/thread/hhnmmzkj5qx5gbk6pdkh8tcsx5oj1nqs
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-67895
  5. https://vuldb.com/?id.336459
  6. https://github.com/apache/airflow/pull/59143
  7. http://www.openwall.com/lists/oss-security/2025/12/16/3
  8. https://nvd.nist.gov/vuln/detail/CVE-2025-67895
  9. https://cwe.mitre.org/data/definitions/669.html

همچنین ممکن است دوست داشته باشید

CVE-2026-7270

CVE-2026-3888

CVE-2026-0047

CVE-2026-6770

CVE-2026-7482

CVE-2026-7482

CVE-2026-9082

CVE-2026-40369

CVE-2026-0073

CVE-2026-42945

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.