Apache Airflow Spark Provider插件存在反序列化漏洞，攻击者可通过构造参数?autoDeserialize=true连接恶意Spark服务器，造成任意代码执行。升级apache-airflow-providers-apache-spark到4.1.3或更高版本可解决该漏洞。

Apache Airflow Spark Provider是Apache Airflow项目的插件，用于管理和调度Apache Spark作业。该插件存在任意文件读取漏洞，攻击者可以通过构造参数?allowLoadLocalInfile=true连接恶意mysql服务器，读取Airflow上的任意文件。受影响版本为apache-airflow-providers-apache-spark@(-∞, 4.1.3)，修复方案是升级到4.1.3或更高版本。