Apache Airflow Spark Provider存在反序列化漏洞，漏洞编号：CVE-2023-40195，漏洞威胁等级：高危。

当在Airflow部署上安装Apache Spark程序时，攻击者将Airflow节点指向恶意Spark服务器，构造反序列化利用链从而造成任意代码执行。

（一）漏洞影响范围：

Apache-Airflow Spark Provider<4.1.3

（二）漏洞修复建议：

将组件Apache-Airflow Spark Provider升级到4.1.3或更高版本。链接如下：https://lists.apache.org/thread/fzy95b1d6zv31j5wrx3znhzcscck2o24

https://github.com/apache/airflow/pull/33233。