Plateforme
python
Composant
apache-airflow
Corrigé dans
3.2.0
3.2.0
Une vulnérabilité a été identifiée dans Apache Airflow, affectant les versions de 0.0.0 à 3.2.0. En cas d'erreurs SQL, les traces d'exception et d'erreur étaient exposées via l'API, même lorsque l'option 'api/exposestacktraces' était désactivée. Cela pouvait potentiellement exposer des informations sensibles à un attaquant. La mise à jour vers Apache Airflow 3.2.0 corrige ce problème.
La vulnérabilité CVE-2026-30912 dans Apache Airflow expose des informations sensibles via l'API, même lorsque 'api/exposestacktraces' est défini sur false. Plus précisément, en cas d'erreurs SQL, l'exception et la trace de pile sont révélées via l'API. Cela pourrait permettre à un attaquant d'obtenir des détails sur l'infrastructure sous-jacente, la configuration de la base de données ou même des extraits de code, qui pourraient être utilisés pour de futures attaques. La gravité de cette vulnérabilité réside dans la possibilité pour un attaquant de collecter des informations précieuses afin de compromettre la sécurité du système Airflow et des données qu'il gère. L'exposition des traces de pile, même apparemment limitée aux erreurs SQL, peut révéler des informations critiques sur le fonctionnement interne des tâches Airflow.
Un attaquant pourrait exploiter cette vulnérabilité en envoyant des requêtes SQL malveillantes conçues pour générer des erreurs. En déclenchant une erreur SQL, l'attaquant pourrait ensuite accéder à l'API Airflow et obtenir la trace de pile associée. La complexité de l'exploitation est relativement faible, car elle ne nécessite que la capacité d'envoyer des requêtes SQL à la base de données utilisée par Airflow. La probabilité d'exploitation est élevée, en particulier dans les environnements où l'API Airflow est exposée publiquement ou via un réseau non sécurisé. Une mitigation appropriée, telle que la mise à niveau vers la version 3.2.0, est essentielle pour prévenir ce type d'attaque.
Organizations heavily reliant on Apache Airflow for data orchestration and ETL pipelines are at increased risk. Environments with less stringent API access controls or those running older, unpatched Airflow versions are particularly vulnerable. Shared hosting environments where multiple users share an Airflow instance also face a heightened risk due to the potential for cross-tenant information leakage.
• python / airflow:
import requests
import json
# Replace with your Airflow API endpoint
api_endpoint = "http://your_airflow_api/api/v1/dags/<dag_id>/dagRuns/<dag_run_id>"
# Trigger an error to check for stack trace exposure
payload = {}
headers = {'Content-Type': 'application/json'}
response = requests.post(api_endpoint, data=json.dumps(payload), headers=headers)
if response.status_code == 200:
if "traceback" in response.text.lower():
print("Potential vulnerability detected: Stack trace exposed.")
else:
print("No stack trace exposed.")
else:
print(f"Error: {response.status_code}")• generic web:
curl -I http://your_airflow_api/api/v1/dags/<dag_id>/dagRuns/<dag_run_id> | grep "traceback"disclosure
Statut de l'Exploit
EPSS
0.08% (percentile 23%)
La mitigation recommandée pour CVE-2026-30912 consiste à mettre à niveau Apache Airflow vers la version 3.2.0 ou supérieure. Cette version inclut une correction qui empêche l'exposition des exceptions et des traces de pile dans l'API en cas d'erreurs SQL. Il est fortement recommandé d'effectuer cette mise à niveau dès que possible pour protéger votre environnement Airflow. Avant de mettre à niveau, il est essentiel de réaliser une sauvegarde complète de la configuration Airflow et des données associées. De plus, il est conseillé de tester la mise à niveau dans un environnement de test avant de la déployer en production afin de minimiser le risque d'interruptions de service. Surveiller les journaux Airflow après la mise à niveau est essentiel pour s'assurer que la correction a été appliquée correctement et qu'elle n'a pas introduit de nouveaux problèmes.
Actualice Apache Airflow a la versión 3.2.0 o superior para evitar la exposición de trazas de pila en caso de errores de SQL. Esta actualización corrige la vulnerabilidad al asegurar que las trazas de pila no se expongan a través de la API, incluso cuando 'api/expose_stack_traces' esté desactivado.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Une trace de pile est un rapport qui montre la séquence d'appels de fonction qui ont conduit à une erreur. Elle peut révéler des informations sur le code source et la configuration du système.
La version 3.2.0 corrige la vulnérabilité en empêchant l'exposition des traces de pile dans l'API en cas d'erreurs SQL.
Effectuez une sauvegarde complète de la configuration Airflow et des données associées. Testez la mise à niveau dans un environnement de test avant de la déployer en production.
Surveillez les journaux Airflow après la mise à niveau pour vous assurer que la correction a été appliquée correctement.
Cette vulnérabilité affecte les versions d'Airflow antérieures à la 3.2.0.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.