Plateforme
python
Composant
apache-airflow
Corrigé dans
3.2.0
3.2.0
Une vulnérabilité a été identifiée dans Apache Airflow, affectant les versions de 3.0.0 à 3.2.0. Les utilisateurs de l'interface utilisateur/API disposant de la permission de matérialisation d'actifs pouvaient déclencher des DAGs auxquels ils n'avaient pas accès. La mise à jour vers Apache Airflow 3.2.0 corrige ce problème.
La vulnérabilité CVE-2026-32228 dans Apache Airflow permet aux utilisateurs de l'interface utilisateur/API disposant de la permission de matérialiser des actifs (assets) de déclencher des DAG auxquels ils n'ont pas accès. Cela représente un risque de sécurité important, car un utilisateur malveillant pourrait exécuter des flux de travail non autorisés, compromettant potentiellement des données sensibles ou perturbant des opérations critiques. La gravité de cette vulnérabilité dépend du niveau d'accès dont dispose l'utilisateur disposant de la permission de matérialisation et de la sensibilité des DAG qu'il peut déclencher. La matérialisation d'actifs implique souvent la création de représentations persistantes d'objets, et cette faille exploite une défaillance du contrôle d'accès lors du déclenchement de DAG basés sur ces actifs.
La vulnérabilité est déclenchée lorsqu'un utilisateur disposant de la permission 'assetmaterialize' tente de matérialiser un actif et, par conséquent, déclenche un DAG auquel il ne devrait pas avoir accès. Ce scénario est particulièrement préoccupant dans les environnements où plusieurs utilisateurs ont différents niveaux d'accès aux ressources Airflow. Un attaquant pourrait exploiter cette vulnérabilité pour obtenir un accès à des informations confidentielles ou pour manipuler les flux de travail Airflow. L'exploitation nécessite que l'attaquant dispose de la permission 'assetmaterialize', qui peut être accordée involontairement à des utilisateurs disposant de privilèges limités.
Organizations heavily reliant on Apache Airflow for data orchestration and workflow automation are at risk. Specifically, environments where multiple users have asset materialize permissions, or where DAGs are configured with overly permissive access controls, are particularly vulnerable. Shared hosting environments running Airflow also present a heightened risk.
• python / airflow: Check Airflow version using airflow version. Verify user permissions related to asset materialize. Review Airflow logs for unusual DAG triggering activity by users with asset materialize permissions.
• generic web: Monitor Airflow UI for unauthorized DAG executions. Examine Airflow logs for suspicious user activity and error messages related to permission denials.
disclosure
Statut de l'Exploit
EPSS
0.10% (percentile 26%)
La mitigation recommandée pour CVE-2026-32228 est de mettre à niveau Apache Airflow vers la version 3.2.0 ou supérieure. Cette version inclut une correction qui résout la défaillance du contrôle d'accès permettant l'exécution non autorisée de DAG. Il est fortement recommandé d'effectuer cette mise à niveau dès que possible pour protéger votre environnement Airflow. Avant de mettre à niveau, il est crucial de faire une sauvegarde complète de votre installation Airflow et de tester la mise à niveau dans un environnement de test afin de garantir la compatibilité et d'éviter des interruptions inattendues. Consultez la documentation officielle d'Apache Airflow pour obtenir des instructions détaillées sur la mise à niveau vers la version 3.2.0.
Actualice Apache Airflow a la versión 3.2.0 o superior para mitigar el riesgo. Esta versión corrige la vulnerabilidad que permite a usuarios con permisos de materialización de activos activar DAGs a los que no deberían tener acceso.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Dans Airflow, un 'asset' est une représentation persistante d'un objet, tel qu'un fichier, une table de base de données ou un modèle d'apprentissage automatique. Il est utilisé pour partager des données et des résultats entre différents DAG.
Matérialiser un actif signifie créer une version persistante de cet actif, généralement stockée dans un système de fichiers ou une base de données.
Il n'existe aucun moyen de contournement pour atténuer complètement cette vulnérabilité sans mettre à niveau vers la version 3.2.0 ou supérieure. Restreindre la permission 'asset_materialize' peut aider, mais ce n'est pas une solution complète.
Si vous utilisez une version d'Airflow antérieure à la 3.2.0, vous êtes vulnérable à cette vulnérabilité. Consultez la documentation d'Airflow pour savoir comment identifier votre version.
Si vous suspectez que votre système a été compromis, vous devez l'isoler immédiatement du réseau, examiner les journaux d'audit et consulter un expert en sécurité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.