Plateforme
python
Composant
apache-airflow
Corrigé dans
3.2.0
3.2.0
Une vulnérabilité a été découverte dans Apache Airflow, affectant les versions de 3.0.0 à 3.2.0. Les secrets stockés dans les Variables au format JSON n'étaient pas correctement masqués lors de leur récupération par l'utilisateur, exposant ainsi les champs imbriqués. La mise à jour vers Apache Airflow 3.2.0 corrige ce problème.
La vulnérabilité CVE-2026-32690 dans Apache Airflow affecte les installations qui stockent des valeurs sensibles dans des variables JSON. Plus précisément, lorsque les variables sont stockées sous forme de dictionnaires JSON et récupérées par un utilisateur, les secrets stockés dans les champs imbriqués de ces dictionnaires ne sont pas correctement masqués. Cela pourrait permettre à un utilisateur malveillant d'accéder à des informations confidentielles, telles que des mots de passe, des clés API ou d'autres données sensibles, qui étaient censées être protégées. La gravité de ce problème dépend de la quantité et de la sensibilité des secrets stockés dans les variables JSON.
Un attaquant ayant accès à l'interface utilisateur d'Airflow ou aux journaux d'application pourrait potentiellement exploiter cette vulnérabilité. Si un utilisateur peut accéder aux variables Airflow et que ces variables sont stockées au format JSON avec des secrets imbriqués, l'attaquant pourrait lire les secrets sans masquage. La probabilité d'exploitation dépend de la configuration de sécurité d'Airflow et des autorisations d'accès des utilisateurs. L'absence de masquage des secrets dans les réponses de l'API est le vecteur d'attaque principal.
Organizations using Apache Airflow versions 3.0.0 through 3.2.0, particularly those storing sensitive information as JSON dictionaries within Airflow Variables, are at risk. Shared Airflow deployments or environments with less stringent access controls are also more vulnerable.
• python / airflow:
import airflow
# Check Airflow version
print(airflow.__version__)
# Review Variables stored as JSON dictionaries for sensitive data• generic web:
curl -I http://<airflow_url>/api/v1/variables | grep -i 'content-type: application/json'disclosure
Statut de l'Exploit
EPSS
0.10% (percentile 28%)
La mesure d'atténuation la plus efficace consiste à mettre à niveau vers Apache Airflow version 3.2.0 ou ultérieure. Cette version inclut une correction qui garantit que les secrets stockés dans les variables JSON sont correctement masqués. Si une mise à niveau immédiate n'est pas possible, évitez d'utiliser des variables JSON pour stocker des informations sensibles. Envisagez plutôt d'utiliser des méthodes alternatives de gestion des secrets, telles que des variables d'environnement ou des solutions de gestion des secrets dédiées, qui offrent un niveau de sécurité et de masquage plus élevé. La mise à niveau est essentielle pour protéger votre infrastructure et vos données.
Actualice Apache Airflow a la versión 3.2.0 o superior para evitar la exposición de secretos almacenados en variables JSON. Verifique la configuración de sus variables y evite almacenar información sensible en formato JSON si no es estrictamente necesario. Consulte la documentación oficial de Apache Airflow para obtener más detalles sobre la gestión segura de variables.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Le masquage consiste à obscurcir ou à remplacer les secrets par des caractères ou des symboles afin qu'ils ne soient pas lisibles dans les journaux, l'interface utilisateur ou tout autre endroit où ils pourraient être accidentellement exposés.
Examinez la configuration de vos variables Airflow. Si une variable est définie comme un dictionnaire JSON et contient des informations sensibles, elle est potentiellement affectée.
Oui, envisagez d'utiliser des variables d'environnement, des solutions de gestion des secrets telles que HashiCorp Vault, AWS Secrets Manager ou Azure Key Vault. Ces options offrent un niveau de sécurité plus élevé.
Assurez-vous qu'il n'y a pas de configurations héritées qui utilisent encore la méthode vulnérable. Examinez vos DAG et vos configurations pour supprimer toute dépendance vis-à-vis de variables JSON contenant des secrets.
Cela dépend de la sensibilité des secrets stockés et de la configuration de sécurité de votre environnement Airflow. Cependant, il est fortement recommandé d'appliquer la correction dès que possible.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.