SQL 注入¶

之前，Airflow 釋出過 CVE，例如 CVE-2025-27018 MySQL 提供程式核心函式中的 SQL 注入。這些 CVE 涉及的是不考慮執行者身份的 SQL 注入能力。Airflow 將不再為 SQL 注入漏洞釋出 CVE，除非報告者能夠演示其利用場景。例如，如果安全報告中唯一能夠執行注入的攻擊者是擁有 DAGs 資料夾訪問許可權的使用者，則報告將被拒絕。提交 SQL 注入安全報告時，報告者必須說明能夠利用該注入的使用者是誰，以及該使用者如何獲得執行注入的許可權。簡單來說，如果使用者擁有合法的寫入和訪問特定 DAG 的許可權，那麼該使用者進行 SQL 注入的風險就不存在。