漏洞概述 漏洞名称: Validate SMTP server certificate on STARTTLS upgrade #65346 漏洞描述: 在没有传递 SSL 上下文的情况下不会验证服务器证书。 和 SMTP 提供者的 和 方法在没有上下文的情况下调用 ,导致 STARTTLS 升级时跳过证书验证。 影响范围 受影响组件: - - 影响版本: Airflow 3.2.2 修复方案 修复内容: - 将现有的 SSL 上下文机制传递给 在所有三个调用点。 - 从 中提取 SSL 上下文查找逻辑到 ,由现有的 配置驱动。 - 从 中提取 SSL 上下文查找逻辑到 ,由现有的 连接额外配置驱动。 默认行为变更: - 默认 SSL 上下文现在使用 ,该上下文会根据系统信任的 CA 进行验证。 - 环境有意使用自签名证书或其他不验证 SMTP 服务器的用户可以选择不验证: - Core: 设置 在 中。 - Provider: 设置 在 SMTP 连接额外配置中。 测试计划: - - 25/25 通过 - - 34/34 通过(包括同步 和异步 更新以验证 被调用时带有 ) POC 代码 页面中未包含具体的 POC 代码或利用代码。