Plattform
python
Komponente
apache-airflow
Behoben in
3.2.0
3.2.0
CVE-2026-30912 describes an information disclosure vulnerability affecting Apache Airflow versions from 0.0.0 through 3.2.0. This flaw allows attackers to view exception stack traces through the API, even when the api/exposestacktraces setting is configured to false. The exposure of these stack traces can reveal sensitive information about the Airflow environment and potentially aid in further attacks. A fix is available in Apache Airflow 3.2.0.
Die CVE-2026-30912-Schwachstelle in Apache Airflow legt sensible Informationen über die API frei, selbst wenn 'api/exposestacktraces' auf false gesetzt ist. Konkret werden bei SQL-Fehlern die Ausnahme und der Stacktrace über die API offengelegt. Dies könnte es einem Angreifer ermöglichen, Details über die zugrunde liegende Infrastruktur, die Datenbankkonfiguration oder sogar Codeausschnitte zu erhalten, die für zukünftige Angriffe verwendet werden könnten. Die Schwere dieser Schwachstelle liegt in der Möglichkeit für einen Angreifer, wertvolle Informationen zu sammeln, um die Sicherheit des Airflow-Systems und der von ihm verwalteten Daten zu gefährden. Die Offenlegung von Stacktraces, selbst wenn sie scheinbar auf SQL-Fehler beschränkt ist, kann kritische Einblicke in die interne Funktionsweise von Airflow-Aufgaben liefern.
Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er bösartige SQL-Abfragen sendet, die darauf ausgelegt sind, Fehler zu erzeugen. Durch das Auslösen eines SQL-Fehlers könnte der Angreifer dann auf die Airflow-API zugreifen und den zugehörigen Stacktrace abrufen. Die Komplexität der Ausnutzung ist relativ gering, da sie nur die Fähigkeit erfordert, SQL-Abfragen an die von Airflow verwendete Datenbank zu senden. Die Wahrscheinlichkeit einer Ausnutzung ist hoch, insbesondere in Umgebungen, in denen die Airflow-API öffentlich oder über ein unsicheres Netzwerk freigegeben ist. Eine angemessene Abhilfemaßnahme, wie z. B. das Upgrade auf Version 3.2.0, ist unerlässlich, um diese Art von Angriff zu verhindern.
Organizations heavily reliant on Apache Airflow for data orchestration and ETL pipelines are at increased risk. Environments with less stringent API access controls or those running older, unpatched Airflow versions are particularly vulnerable. Shared hosting environments where multiple users share an Airflow instance also face a heightened risk due to the potential for cross-tenant information leakage.
• python / airflow:
import requests
import json
# Replace with your Airflow API endpoint
api_endpoint = "http://your_airflow_api/api/v1/dags/<dag_id>/dagRuns/<dag_run_id>"
# Trigger an error to check for stack trace exposure
payload = {}
headers = {'Content-Type': 'application/json'}
response = requests.post(api_endpoint, data=json.dumps(payload), headers=headers)
if response.status_code == 200:
if "traceback" in response.text.lower():
print("Potential vulnerability detected: Stack trace exposed.")
else:
print("No stack trace exposed.")
else:
print(f"Error: {response.status_code}")• generic web:
curl -I http://your_airflow_api/api/v1/dags/<dag_id>/dagRuns/<dag_run_id> | grep "traceback"disclosure
Exploit-Status
EPSS
0.08% (23% Perzentil)
Die empfohlene Abhilfemaßnahme für CVE-2026-30912 ist das Upgrade von Apache Airflow auf Version 3.2.0 oder höher. Diese Version enthält eine Korrektur, die verhindert, dass Ausnahmen und Stacktraces in der API bei SQL-Fehlern offengelegt werden. Es wird dringend empfohlen, dieses Upgrade so schnell wie möglich durchzuführen, um Ihre Airflow-Umgebung zu schützen. Bevor Sie ein Upgrade durchführen, ist es unerlässlich, ein vollständiges Backup Ihrer Airflow-Konfiguration und der zugehörigen Daten zu erstellen. Darüber hinaus wird empfohlen, das Upgrade in einer Testumgebung zu testen, bevor Sie es in der Produktion bereitstellen, um das Risiko von Dienstunterbrechungen zu minimieren. Die Überwachung der Airflow-Protokolle nach dem Upgrade ist entscheidend, um sicherzustellen, dass die Korrektur korrekt angewendet wurde und keine neuen Probleme verursacht hat.
Actualice Apache Airflow a la versión 3.2.0 o superior para evitar la exposición de trazas de pila en caso de errores de SQL. Esta actualización corrige la vulnerabilidad al asegurar que las trazas de pila no se expongan a través de la API, incluso cuando 'api/expose_stack_traces' esté desactivado.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Ein Stacktrace ist ein Bericht, der die Reihenfolge der Funktionsaufrufe zeigt, die zu einem Fehler geführt haben. Er kann Informationen über den Quellcode und die Systemkonfiguration preisgeben.
Version 3.2.0 behebt die Schwachstelle, indem sie verhindert, dass Stacktraces in der API bei SQL-Fehlern offengelegt werden.
Erstellen Sie ein vollständiges Backup Ihrer Airflow-Konfiguration und der zugehörigen Daten. Testen Sie das Upgrade in einer Testumgebung, bevor Sie es in der Produktion bereitstellen.
Überwachen Sie die Airflow-Protokolle nach dem Upgrade, um sicherzustellen, dass die Korrektur korrekt angewendet wurde.
Diese Schwachstelle betrifft Airflow-Versionen vor 3.2.0.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine requirements.txt-Datei hoch und wir sagen dir sofort, ob du betroffen bist.