Plattform
python
Komponente
apache-airflow-providers-keycloak
Behoben in
0.7.0
0.7.0
CVE-2026-40948 is a Cross-Site Request Forgery (CSRF) vulnerability affecting the Keycloak authentication manager within the Apache Airflow Providers Keycloak package. An attacker could exploit this flaw to log a victim into their Airflow session, potentially harvesting stored credentials from Airflow Connections. This vulnerability impacts versions 0.0.1 through 0.7.0 of the package, and a fix is available in version 0.7.0.
CVE-2026-40948 im Keycloak-Authentifizierungsmanager von apache-airflow-providers-keycloak ermöglicht einem Angreifer mit einem Keycloak-Konto im selben Realm, einen Session-Fixierungs- oder Cross-Site Request Forgery (CSRF)-Angriff durchzuführen. Dies liegt an der fehlenden Generierung oder Validierung des state-Parameters in OAuth 2.0 während des Login-/Login-Callback-Flusses und dem Fehlen von PKCE (Proof Key for Code Exchange). Ein Angreifer könnte einen Benutzer dazu verleiten, eine bösartige Callback-URL zu besuchen, wodurch er die Identität des Benutzers in Airflow übernehmen und potenziell Anmeldeinformationen abrufen könnte, die in Airflow-Verbindungen gespeichert sind.
Ein Angreifer, der Zugriff auf ein Keycloak-Konto im selben Realm wie die anfällige Airflow-Instanz hat, kann diese Schwachstelle ausnutzen. Der Angreifer könnte eine bösartige Callback-URL erstellen und an einen legitimen Benutzer senden. Wenn der Benutzer auf die URL klickt, könnte der Angreifer Zugriff auf die Airflow-Sitzung des Benutzers erhalten. Die Komplexität der Ausnutzung ist relativ gering, da keine fortgeschrittenen technischen Fähigkeiten erforderlich sind, sondern nur ein gültiges Keycloak-Konto und die Fähigkeit, eine URL an einen Benutzer zu senden. Der Einfluss ist hoch, da er eine Identitätsübernahme und potenziellen Zugriff auf vertrauliche Daten ermöglicht.
Exploit-Status
EPSS
0.01% (1% Perzentil)
Die primäre Abhilfemaßnahme für CVE-2026-40948 ist das Upgrade auf Version 0.7.0 oder höher von apache-airflow-providers-keycloak. Diese Version behebt die Schwachstelle, indem sie die Generierung und Validierung des state-Parameters implementiert und PKCE im Keycloak-Authentifizierungsfluss aktiviert. Es wird empfohlen, dieses Update so schnell wie möglich anzuwenden, um Ihre Airflow-Instanzen zu schützen. Überprüfen Sie außerdem die Airflow-Verbindungen, um sicherzustellen, dass diese keine sensiblen Anmeldeinformationen enthalten, die kompromittiert werden könnten. Implementieren Sie robuste Zugriffskontrollen und überwachen Sie die Anmeldeaktivität auf verdächtige Aktivitäten.
Actualice el paquete `apache-airflow-providers-keycloak` a la versión 0.7.0 o posterior para mitigar la vulnerabilidad CSRF en el flujo de autenticación OAuth. Esta actualización implementa la validación del parámetro `state` y la protección PKCE, previniendo que un atacante pueda secuestrar sesiones de Airflow.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
PKCE (Proof Key for Code Exchange) ist eine Erweiterung von OAuth 2.0, die die Sicherheit verbessert, indem sie Angriffe auf die Abfangung von Autorisierungscodes verhindert. Es hilft, den Diebstahl von Autorisierungscodes zu verhindern.
CSRF (Cross-Site Request Forgery) ist eine Art von Angriff, bei dem ein Angreifer einen authentifizierten Benutzer dazu verleitet, unbeabsichtigte Aktionen auf einer Webanwendung auszuführen.
Aktualisieren Sie sofort auf Version 0.7.0 oder höher von apache-airflow-providers-keycloak.
Überwachen Sie die Airflow-Protokolle auf ungewöhnliche Anmeldungen oder verdächtige Aktivitäten.
Ja, jede Airflow-Instanz, die den Anbieter apache-airflow-providers-keycloak verwendet und eine Version vor 0.7.0 ausführt, ist anfällig.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine requirements.txt-Datei hoch und wir sagen dir sofort, ob du betroffen bist.