Plateforme
python
Composant
apache-airflow
Corrigé dans
3.2.0
3.2.0
La vulnérabilité CVE-2026-34538 affecte Apache Airflow, où le point de terminaison DagRun renvoie les valeurs XCom même aux utilisateurs disposant uniquement de droits de lecture sur les Dag Run, comme le rôle Viewer. Ce comportement contredit le modèle FAB RBAC, qui considère XCom comme une ressource protégée distincte, et la documentation du modèle de sécurité. Les versions concernées sont celles comprises entre 3.0.0 et 3.1.8, et une correction est disponible dans la version 3.2.0.
La vulnérabilité CVE-2026-34538 dans Apache Airflow affecte les versions de 3.0.0 à 3.1.8. Elle permet aux utilisateurs disposant de permissions de lecture sur DagRun, tels que le rôle 'Viewer', d'accéder aux valeurs XCom. Cela contredit le modèle FAB RBAC, qui considère les XCom comme une ressource protégée distincte, et la documentation de sécurité définissant le rôle 'Viewer' comme en lecture seule. Cette exposition non autorisée de données sensibles stockées dans les XCom pourrait compromettre la confidentialité des informations traitées par vos flux de travail. La sévérité CVSS est de 6.5, ce qui indique un risque modéré.
Un attaquant disposant d'un accès en lecture seule à DagRun pourrait exploiter cette vulnérabilité pour obtenir des informations sensibles stockées dans les XCom. Cela pourrait inclure des mots de passe, des clés API, des informations de base de données ou d'autres données sensibles utilisées par vos flux de travail. La facilité d'exploitation est élevée, car elle ne nécessite que des permissions en lecture seule, qui sont couramment attribuées à un grand nombre d'utilisateurs. L'impact pourrait être important si les données exposées sont utilisées pour compromettre d'autres systèmes ou voler des informations confidentielles.
Organizations utilizing Apache Airflow with deployments that grant the Viewer role access to DAG Runs are particularly at risk. This includes environments leveraging shared hosting services where multiple users may have access to the same Airflow instance. Legacy Airflow configurations that haven't been regularly reviewed for security best practices are also vulnerable.
• python / airflow:
import airflow
# Check Airflow version
print(airflow.__version__)
# If version is <= 3.1.8, the vulnerability is present.• linux / server:
# Check for Airflow processes
ps aux | grep airflow
# Review Airflow logs for unauthorized access attempts to the DagRun wait endpoint.
journalctl -u airflow -f | grep "DagRun wait endpoint"• generic web:
curl -I http://<airflow_host>/api/v1/dags/<dag_id>/dagRuns/<dag_run_id>/xcom
# Check the response headers for any unusual access patterns or unauthorized requests.disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 12%)
Vecteur CVSS
La solution à cette vulnérabilité est de mettre à niveau Apache Airflow vers la version 3.2.0 ou supérieure. Cette version corrige le problème en restreignant l'accès aux valeurs XCom aux utilisateurs disposant des permissions appropriées. Nous vous recommandons d'appliquer cette mise à niveau dès que possible afin d'atténuer le risque d'exposition des données. De plus, examinez vos configurations de permissions utilisateur pour vous assurer que seuls les utilisateurs autorisés ont accès aux ressources Airflow. Surveillez les journaux Airflow pour détecter toute activité suspecte liée à l'accès aux XCom.
Actualice Apache Airflow a la versión 3.2.0 o posterior para solucionar la vulnerabilidad. Esta actualización corrige el problema de exposición de XCom al permitir que los usuarios con permisos de solo lectura de DagRun accedan a los resultados de XCom, lo que contraviene el modelo de control de acceso basado en roles (RBAC) de FAB.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
XCom est un mécanisme dans Airflow pour transmettre des données entre les tâches au sein d'un DAG. Il est utilisé pour partager les résultats des tâches ou les configurations.
FAB RBAC est le modèle de contrôle d'accès basé sur les rôles d'Apache Airflow. Il définit des rôles et des permissions pour contrôler l'accès aux ressources Airflow.
La version 3.2.0 corrige la vulnérabilité CVE-2026-34538, qui permet un accès non autorisé aux valeurs XCom.
Si vous ne pouvez pas mettre à niveau immédiatement, envisagez de restreindre l'accès aux points de terminaison DagRun aux utilisateurs disposant de permissions plus élevées.
Si vous utilisez une version d'Airflow comprise entre 3.0.0 et 3.1.8, vous êtes probablement affecté par cette vulnérabilité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.