Plateforme
python
Composant
apache-airflow
Corrigé dans
3.1.8
3.1.8
La vulnérabilité CVE-2026-25219 affecte Apache Airflow, notamment les versions de 0.0.0 à 3.1.8. Elle se manifeste par une fuite d'informations sensibles, car les propriétés accesskey et connectionstring des connexions ne sont pas correctement masquées. Cela permet à des utilisateurs disposant des permissions de lecture de visualiser ces valeurs dans l'interface utilisateur des connexions, et potentiellement dans les logs, ce qui compromet la sécurité des données sensibles stockées, notamment celles utilisées par Azure Service Bus. Une mise à jour vers la version 3.1.8 est disponible pour corriger ce problème.
La vulnérabilité CVE-2026-25219 dans Apache Airflow affecte la manière dont les informations d'identification sensibles sont gérées au sein des connexions. Plus précisément, les propriétés accesskey et connectionstring des connexions, souvent utilisées avec Azure Service Bus pour stocker des informations confidentielles, n'étaient pas marquées comme des noms sensibles dans le masqueur de secrets. Cela signifie qu'un utilisateur disposant d'autorisations de lecture pourrait visualiser ces valeurs dans l'interface utilisateur des Connexions. De plus, si une connexion était accidentellement enregistrée dans les journaux, ces valeurs sensibles pourraient être exposées. Bien qu'Azure Service Bus soit le cas d'utilisation le plus évident, d'autres fournisseurs utilisant ces champs pour stocker des données sensibles pourraient également être affectés. La gravité de cette vulnérabilité réside dans la potentielle exposition d'informations d'identification qui pourraient permettre un accès non autorisé à des ressources critiques.
Un attaquant disposant d'autorisations de lecture dans l'interface utilisateur des Connexions pourrait visualiser directement les valeurs de accesskey et connectionstring. Si les journaux d'Airflow ne sont pas configurés correctement, un attaquant pourrait trouver ces valeurs dans les journaux. Le risque est particulièrement élevé si ces informations d'identification sont utilisées pour accéder à des services critiques tels qu'Azure Service Bus, car un attaquant pourrait utiliser ces informations d'identification pour compromettre ces services. L'absence de masquage de secrets dans l'interface utilisateur et les journaux simplifie l'exploitation de cette vulnérabilité.
Statut de l'Exploit
EPSS
0.02% (percentile 6%)
La solution à cette vulnérabilité est de mettre à niveau Apache Airflow vers la version 3.1.8 ou supérieure. Cette version corrige le problème en marquant correctement les propriétés accesskey et connectionstring comme des noms sensibles dans le masqueur de secrets. Nous vous recommandons vivement d'appliquer cette mise à niveau dès que possible pour protéger vos informations d'identification. De plus, examinez les journaux d'Airflow pour identifier les cas où des informations d'identification ont été accidentellement exposées et prenez des mesures pour atténuer tout accès non autorisé potentiel. Envisagez de mettre en œuvre des politiques d'accès plus strictes pour les connexions et de limiter l'accès à l'interface utilisateur des Connexions aux utilisateurs autorisés uniquement.
Actualice Apache Airflow a la versión 3.1.8 o superior para evitar la exposición de credenciales sensibles en la interfaz de usuario y en los registros. Verifique las conexiones existentes, especialmente aquellas que utilizan Azure Service Bus, para asegurarse de que no almacenan información confidencial en los campos 'access_key' o 'connection_string'.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Le masqueur de secrets est une fonctionnalité d'Airflow qui masque les informations sensibles, telles que les mots de passe et les clés d'accès, dans l'interface utilisateur et les journaux.
La version 3.1.8 corrige la vulnérabilité en marquant correctement les propriétés sensibles, empêchant l'exposition des informations d'identification.
Modifiez immédiatement les mots de passe et les clés d'accès affectés et examinez les journaux pour détecter toute activité suspecte.
Mettez en œuvre des politiques d'accès strictes, examinez régulièrement vos journaux et envisagez d'utiliser des solutions de gestion des secrets.
Elle affecte principalement les connexions qui utilisent les propriétés accesskey et connectionstring, en particulier celles qui interagissent avec Azure Service Bus ou d'autres services stockant des données sensibles dans ces champs.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.