Corregido en
3.2.0
3.2.0
3.2.0
La vulnerabilidad CVE-2025-66236 afecta a Apache Airflow en versiones 3.0.0 hasta 3.2.0. Esta vulnerabilidad se debe a una falta de claridad en la documentación sobre el modelo de seguridad de Airflow, lo que puede llevar a configuraciones inseguras y suposiciones incorrectas por parte del administrador del despliegue. La actualización a la versión 3.2.0 resuelve esta falta de claridad y mejora la seguridad general de las implementaciones de Airflow.
La principal consecuencia de esta vulnerabilidad es la posibilidad de que los administradores de despliegue tomen decisiones incorrectas al configurar Airflow, comprometiendo así la seguridad del sistema. Esto podría resultar en un acceso no autorizado a datos sensibles, la ejecución de código malicioso o incluso la toma de control completa del entorno de Airflow. La falta de claridad en la documentación dificulta la implementación de un modelo de seguridad robusto, especialmente en entornos donde el aislamiento de cargas de trabajo y la autenticación JWT son críticos. Aunque no se trata de una vulnerabilidad de ejecución remota de código (RCE) directa, las configuraciones incorrectas resultantes pueden abrir la puerta a ataques más sofisticados.
Actualmente, no se han reportado casos de explotación activa de CVE-2025-66236. La vulnerabilidad fue publicada el 2026-04-13 y no figura en el Catálogo de Vulnerabilidades Conocidas (KEV) de CISA. La probabilidad de explotación se considera baja debido a la naturaleza de la vulnerabilidad, que depende principalmente de la configuración incorrecta por parte del administrador. No se han encontrado pruebas públicas de concepto (PoC) disponibles.
Organizations deploying Apache Airflow in production, particularly those relying on Deployment Managers or automated deployment pipelines, are at risk. Legacy Airflow deployments with minimal security oversight and those using shared hosting environments are also particularly vulnerable.
disclosure
Estado del Exploit
EPSS
0.11% (29% percentil)
La mitigación principal para CVE-2025-66236 es actualizar Apache Airflow a la versión 3.2.0 o superior. Esta versión incluye una documentación más clara y detallada sobre el modelo de seguridad de Airflow, el aislamiento de cargas de trabajo y la autenticación JWT. Si la actualización no es inmediatamente posible, se recomienda revisar cuidadosamente la documentación de seguridad de Airflow y asegurarse de que la configuración actual se alinea con las mejores prácticas. Además, es crucial auditar regularmente las configuraciones de Airflow para identificar posibles errores o configuraciones inseguras. No existen parches de seguridad previos a la versión 3.2.0, por lo que la actualización es la única solución efectiva.
Actualice Apache Airflow a la versión 3.2.0 o superior para evitar que los secretos de la configuración se registren en texto plano en la interfaz de usuario de los registros de ejecución de DAG. Revise la documentación de seguridad de Airflow para asegurar una configuración segura.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-66236 affects Apache Airflow versions 3.0.0–3.2.0 and arises from unclear documentation regarding secure deployment practices, potentially leading to misconfigurations impacting workload isolation and JWT authentication.
If you are running Apache Airflow versions 3.0.0 through 3.2.0, you are potentially affected. Review your deployment configuration and upgrade to 3.2.0 to mitigate the risk.
Upgrade to Apache Airflow version 3.2.0 or later. Review the documentation on workload isolation and JWT authentication to ensure proper configuration.
There are no confirmed reports of active exploitation at this time, but the potential for misconfiguration remains a risk.
Refer to the Apache Airflow security page for updates and advisories: https://airflow.apache.org/security/
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.