Airflow Drill Provider中存在不正确的输入验证漏洞，漏洞编号：CVE-2023-39553，漏洞风险等级：高危。

该漏洞允许攻击者在与DrillHook建立连接时传入恶意参数，从而读取Airflow服务器上的文件,获取敏感信息。

Airflow是一个使用python语言编写的data pipeline调度和监控工作流的平台，通过DAG（Directed acyclic graph有向无环图）来管理任务流程的任务调度工具，不需要知道业务数据的具体内容，设置任务的依赖关系即可实现任务调度。

（一）漏洞影响范围：

Apache Airflow Drill Provider < 2.4.3

（二）漏洞修复建议：

一是加强系统和网络的访问控制，修改防火墙策略，不将非必要服务暴露于公网；

二是通过WAF监测外网对Jackrabbit webapp/standalone中RMI特殊接口API路径的访问;

三是建议用户留意官方公告，及时升级到最新版本：https://airflow.apache.org。