CVE-2021-38540 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Apache Airflow 的 **Variable Import 端点** 缺少身份验证保护。 💥 **后果**：未授权用户可添加/修改变量，导致 **拒绝服务 (DoS)**、**信息泄露** 或 **远程代码执行 (RCE)**。

🔍 **CWE**：CWE-269 (Improper Privilege Management)。 🛠️ **缺陷点**：关键组件 **Import 端点** 未实施访问控制，任何人都能直接调用。

📦 **产品**：Apache Airflow。 📅 **版本**：**2.0.0** 至 **2.1.2** (含)。 🏢 **厂商**：Apache Software Foundation。

🕵️ **权限**：无需登录即可操作。 📊 **数据**：可篡改 DAG 中使用的 **Airflow Variables**。 💣 **攻击**：注入恶意变量触发 **RCE** 或破坏工作流。

🚪 **门槛**：**极低**。 🔑 **认证**：**无需认证** (Unauthenticated)。 ⚙️ **配置**：只要暴露该端点即可利用，无需特殊配置。

🧪 **PoC**：有现成代码。 🔗 **来源**：GitHub 上有 `PoC-for-CVE-2021-38540` 及 Nuclei 模板。 🌍 **利用**：攻击者可快速构造请求创建恶意变量（如 `kafka_captainhook_user`）。

🔎 **自查**：检查 Airflow 版本是否在 **2.0.0-2.1.2** 区间。 📡 **扫描**：使用 Nuclei 模板 `CVE-2021-38540.yaml` 检测端点是否存在。

🛡️ **修复**：官方已发布补丁。 📌 **版本**：升级至 **2.1.3** 或更高版本即可修复此授权缺失问题。

🚧 **临时规避**： 1️⃣ 升级版本（首选）。 2️⃣ 在反向代理/WAF 层 **拦截** `/variable/import` 端点的未授权访问。 3️⃣ 确保 Airflow UI 不直接暴露于公网。

⚡ **优先级**：**高**。 🔥 **理由**：无需认证即可导致 **RCE**，危害极大。 📢 **建议**：立即升级或实施网络隔离。