CVE-2020-13927 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Apache Airflow 实验性 API 默认**无身份验证**。<br>🔥 **后果**：攻击者可**未授权访问**，导致远程代码执行或数据泄露。

🛡️ **缺陷点**：默认配置允许所有 API 请求无需认证。<br>🚫 **CWE**：数据未提供具体 CWE ID。

📦 **组件**：Apache Airflow。<br>📅 **版本**：**1.10.11 之前**的所有版本。

💣 **权限**：获得 API 访问权限，可能实现**远程代码执行 (RCE)**。<br>📂 **数据**：可访问敏感工作流数据及配置。

🚪 **门槛**：**极低**。<br>⚙️ **配置**：利用**默认设置**，无需任何认证即可发起请求。

🧪 **Exp**：有现成 PoC。<br>🔗 **来源**：ProjectDiscovery nuclei 模板已收录，可快速检测。

🔍 **自查**：扫描实验性 API 端点。<br>📡 **特征**：尝试发起 API 请求，若**无需认证即成功**，则存在漏洞。

🔧 **修复**：升级至 **1.10.11 或更高版本**。<br>📢 **官方**：Apache 基金会已发布安全公告。

🛑 **临时规避**：若无法升级，需**手动启用身份验证**。<br>🔒 **措施**：配置 Airflow 强制要求 API 请求进行认证。

⚡ **优先级**：**高**。<br>🚀 **建议**：默认无认证风险极大，建议**立即**升级或加固配置。