Plattform
python
Komponente
apache-airflow
Behoben in
3.1.8
3.1.8
CVE-2026-25219 affects Apache Airflow versions 0.0.0 through 3.1.8. This vulnerability arises because the accesskey and connectionstring connection properties were not properly designated as sensitive names within the secrets masker. Consequently, users with read permissions could inadvertently view these sensitive values within the Connection UI, and potentially in application logs, particularly when using Azure Service Bus or other providers utilizing similar fields for sensitive data storage. Upgrade to version 3.1.8 to resolve this issue.
Die CVE-2026-25219-Schwachstelle in Apache Airflow betrifft die Art und Weise, wie sensible Anmeldeinformationen innerhalb von Verbindungen behandelt werden. Insbesondere wurden die Eigenschaften accesskey und connectionstring von Verbindungen, die häufig mit Azure Service Bus verwendet werden, um vertrauliche Informationen zu speichern, nicht als sensible Namen im Secrets-Masker markiert. Dies bedeutet, dass ein Benutzer mit Leseberechtigung diese Werte in der Connections-Benutzeroberfläche einsehen könnte. Darüber hinaus könnten diese sensiblen Werte in den Protokollen angezeigt werden, wenn eine Verbindung versehentlich protokolliert wurde. Obwohl Azure Service Bus der häufigste Anwendungsfall ist, könnten auch andere Anbieter, die diese Felder zur Speicherung sensibler Daten verwenden, betroffen sein. Die Schwere dieser Schwachstelle liegt in der potenziellen Offenlegung von Anmeldeinformationen, die unbefugten Zugriff auf kritische Ressourcen ermöglichen könnten.
Ein Angreifer mit Leseberechtigung in der Connections-Benutzeroberfläche könnte die Werte von accesskey und connectionstring direkt einsehen. Wenn die Airflow-Protokolle nicht korrekt konfiguriert sind, könnte ein Angreifer diese Werte in den Protokollen finden. Das Risiko ist besonders hoch, wenn diese Anmeldeinformationen zur Verwendung mit kritischen Diensten wie Azure Service Bus verwendet werden, da ein Angreifer diese Anmeldeinformationen verwenden könnte, um diese Dienste zu kompromittieren. Das Fehlen einer Geheimnismaskierung in der Benutzeroberfläche und den Protokollen vereinfacht die Ausnutzung dieser Schwachstelle.
Exploit-Status
EPSS
0.02% (6% Perzentil)
Die Lösung für diese Schwachstelle besteht darin, Apache Airflow auf Version 3.1.8 oder höher zu aktualisieren. Diese Version behebt das Problem, indem die Eigenschaften accesskey und connectionstring korrekt als sensible Namen im Secrets-Masker markiert werden. Wir empfehlen dringend, dieses Update so bald wie möglich anzuwenden, um Ihre Anmeldeinformationen zu schützen. Überprüfen Sie außerdem Ihre Airflow-Protokolle, um festzustellen, ob Anmeldeinformationen versehentlich offengelegt wurden, und ergreifen Sie Maßnahmen, um jeden potenziellen unbefugten Zugriff zu entschärfen. Erwägen Sie, strengere Zugriffskontrollen für Verbindungen zu implementieren und den Zugriff auf die Connections-Benutzeroberfläche auf autorisierte Benutzer zu beschränken.
Actualice Apache Airflow a la versión 3.1.8 o superior para evitar la exposición de credenciales sensibles en la interfaz de usuario y en los registros. Verifique las conexiones existentes, especialmente aquellas que utilizan Azure Service Bus, para asegurarse de que no almacenan información confidencial en los campos 'access_key' o 'connection_string'.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Der Secrets-Masker ist eine Funktion in Airflow, die sensible Informationen wie Passwörter und Zugriffsschlüssel in der Benutzeroberfläche und den Protokollen ausblendet.
Version 3.1.8 behebt die Schwachstelle, indem sensible Eigenschaften korrekt markiert werden, wodurch die Offenlegung von Anmeldeinformationen verhindert wird.
Ändern Sie sofort die betroffenen Passwörter und Zugriffsschlüssel und überprüfen Sie die Protokolle auf verdächtige Aktivitäten.
Implementieren Sie strenge Zugriffskontrollen, überprüfen Sie Ihre Protokolle regelmäßig und ziehen Sie die Verwendung von Geheimnisverwaltungslösungen in Betracht.
Sie betrifft hauptsächlich Verbindungen, die die Eigenschaften accesskey und connectionstring verwenden, insbesondere solche, die mit Azure Service Bus oder anderen Diensten interagieren, die sensible Daten in diesen Feldern speichern.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine requirements.txt-Datei hoch und wir sagen dir sofort, ob du betroffen bist.