Plattform
python
Komponente
apache-airflow
Behoben in
3.2.0
3.2.0
CVE-2026-34538 is a security vulnerability affecting Apache Airflow versions 3.0.0 through 3.1.8. This issue allows users with DAG Run read permissions, such as those with the Viewer role, to access XCom result values, which they should not be able to. This bypasses the intended access control mechanisms of the FAB RBAC model and conflicts with Airflow's security documentation. A fix is available in version 3.2.0.
Die CVE-2026-34538-Schwachstelle in Apache Airflow betrifft Versionen von 3.0.0 bis 3.1.8. Sie ermöglicht Benutzern mit DagRun-Leseberechtigungen, wie z. B. der Rolle 'Viewer', den Zugriff auf XCom-Ergebniswerte. Dies widerspricht dem FAB RBAC-Modell, das XCom als separate geschützte Ressource betrachtet, und der Sicherheitsdokumentation, die die Rolle 'Viewer' als schreibgeschützt definiert. Diese unbefugte Offenlegung sensibler Daten, die in XCom gespeichert sind, könnte die Vertraulichkeit der von Ihren Workflows verarbeiteten Informationen gefährden. Die CVSS-Schwere ist 6,5, was ein moderates Risiko anzeigt.
Ein Angreifer mit schreibgeschütztem Zugriff auf DagRun könnte diese Schwachstelle ausnutzen, um sensible Informationen abzurufen, die in XCom gespeichert sind. Dazu können Passwörter, API-Schlüssel, Datenbankinformationen oder andere sensible Daten gehören, die von Ihren Workflows verwendet werden. Die Ausnutzbarkeit ist hoch, da sie nur schreibgeschützte Berechtigungen erfordert, die häufig einer großen Anzahl von Benutzern gewährt werden. Die Auswirkungen könnten erheblich sein, wenn die offengelegten Daten verwendet werden, um andere Systeme zu kompromittieren oder vertrauliche Informationen zu stehlen.
Organizations utilizing Apache Airflow with deployments that grant the Viewer role access to DAG Runs are particularly at risk. This includes environments leveraging shared hosting services where multiple users may have access to the same Airflow instance. Legacy Airflow configurations that haven't been regularly reviewed for security best practices are also vulnerable.
• python / airflow:
import airflow
# Check Airflow version
print(airflow.__version__)
# If version is <= 3.1.8, the vulnerability is present.• linux / server:
# Check for Airflow processes
ps aux | grep airflow
# Review Airflow logs for unauthorized access attempts to the DagRun wait endpoint.
journalctl -u airflow -f | grep "DagRun wait endpoint"• generic web:
curl -I http://<airflow_host>/api/v1/dags/<dag_id>/dagRuns/<dag_run_id>/xcom
# Check the response headers for any unusual access patterns or unauthorized requests.disclosure
Exploit-Status
EPSS
0.04% (12% Perzentil)
CVSS-Vektor
Die Lösung für diese Schwachstelle besteht darin, Apache Airflow auf Version 3.2.0 oder höher zu aktualisieren. Diese Version behebt das Problem, indem der Zugriff auf XCom-Werte auf Benutzer mit den entsprechenden Berechtigungen beschränkt wird. Wir empfehlen, dieses Update so bald wie möglich anzuwenden, um das Risiko einer Datenoffenlegung zu mindern. Überprüfen Sie außerdem Ihre Benutzerberechtigungskonfigurationen, um sicherzustellen, dass nur autorisierte Benutzer Zugriff auf Airflow-Ressourcen haben. Überwachen Sie Ihre Airflow-Protokolle auf verdächtige Aktivitäten im Zusammenhang mit dem Zugriff auf XCom.
Actualice Apache Airflow a la versión 3.2.0 o posterior para solucionar la vulnerabilidad. Esta actualización corrige el problema de exposición de XCom al permitir que los usuarios con permisos de solo lectura de DagRun accedan a los resultados de XCom, lo que contraviene el modelo de control de acceso basado en roles (RBAC) de FAB.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
XCom ist ein Mechanismus in Airflow, um Daten zwischen Aufgaben innerhalb eines DAG zu übertragen. Es wird verwendet, um die Ergebnisse von Aufgaben oder Konfigurationen gemeinsam zu nutzen.
FAB RBAC ist das rollenbasierte Zugriffskontrollmodell von Apache Airflow. Es definiert Rollen und Berechtigungen, um den Zugriff auf Airflow-Ressourcen zu steuern.
Version 3.2.0 behebt die CVE-2026-34538-Schwachstelle, die unbefugten Zugriff auf XCom-Werte ermöglicht.
Wenn Sie nicht sofort aktualisieren können, sollten Sie den Zugriff auf die DagRun-Endpunkte auf Benutzer mit höheren Berechtigungen beschränken.
Wenn Sie eine Airflow-Version zwischen 3.0.0 und 3.1.8 verwenden, sind Sie wahrscheinlich von dieser Schwachstelle betroffen.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine requirements.txt-Datei hoch und wir sagen dir sofort, ob du betroffen bist.