Plateforme
python
Composant
apache-airflow-providers-keycloak
Corrigé dans
0.7.0
0.7.0
La vulnérabilité CVE-2026-40948 affecte le module Keycloak d'Apache Airflow Providers, spécifiquement les versions de 0.0.1 à 0.7.0. Elle se manifeste par un défaut de génération et de validation du paramètre state OAuth 2.0, ainsi que l'absence de PKCE, permettant à un attaquant de compromettre les sessions Airflow des utilisateurs via une attaque CSRF. La mise à jour vers la version 0.7.0 corrige cette faille de sécurité.
La vulnérabilité CVE-2026-40948 dans le gestionnaire d'authentification Keycloak de apache-airflow-providers-keycloak permet à un attaquant disposant d'un compte Keycloak dans le même royaume de réaliser une attaque de fixation de session ou Cross-Site Request Forgery (CSRF). Cela est dû à l'absence de génération ou de validation du paramètre state dans OAuth 2.0 pendant le flux de connexion/callback, et à l'absence de PKCE (Proof Key for Code Exchange). Un attaquant pourrait inciter un utilisateur à visiter une URL de callback malveillante, lui permettant de se faire passer pour l'utilisateur dans Airflow et d'accéder potentiellement aux informations d'identification stockées dans les Connexions Airflow.
Un attaquant disposant d'un compte Keycloak dans le même royaume que l'instance Airflow vulnérable peut exploiter cette vulnérabilité. L'attaquant pourrait créer une URL de callback malveillante et l'envoyer à un utilisateur légitime. Si l'utilisateur clique sur l'URL, l'attaquant pourrait obtenir l'accès à la session Airflow de l'utilisateur. La complexité de l'exploitation est relativement faible, car elle ne nécessite pas de compétences techniques avancées, seulement un compte Keycloak valide et la capacité d'envoyer une URL à un utilisateur. L'impact est élevé, car il permet l'usurpation d'identité et l'accès potentiel à des données confidentielles.
Statut de l'Exploit
EPSS
0.01% (percentile 1%)
L'atténuation principale pour CVE-2026-40948 consiste à mettre à niveau vers la version 0.7.0 ou supérieure de apache-airflow-providers-keycloak. Cette version corrige la vulnérabilité en implémentant la génération et la validation du paramètre state et en activant PKCE dans le flux d'authentification Keycloak. Il est recommandé d'appliquer cette mise à jour dès que possible pour protéger vos instances Airflow. De plus, examinez les Connexions Airflow pour vous assurer qu'elles ne contiennent pas d'informations d'identification sensibles qui pourraient être compromises. Mettez en œuvre des contrôles d'accès robustes et surveillez l'activité de connexion pour détecter toute activité suspecte.
Actualice el paquete `apache-airflow-providers-keycloak` a la versión 0.7.0 o posterior para mitigar la vulnerabilidad CSRF en el flujo de autenticación OAuth. Esta actualización implementa la validación del parámetro `state` y la protección PKCE, previniendo que un atacante pueda secuestrar sesiones de Airflow.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
PKCE (Proof Key for Code Exchange) est une extension d'OAuth 2.0 qui améliore la sécurité en empêchant les attaques d'interception de code d'autorisation. Il aide à protéger contre le vol de codes d'autorisation.
CSRF (Cross-Site Request Forgery) est un type d'attaque où un attaquant trompe un utilisateur authentifié pour qu'il effectue des actions non désirées sur une application web.
Mettez immédiatement à niveau vers la version 0.7.0 ou supérieure de apache-airflow-providers-keycloak.
Surveillez les journaux d'Airflow pour détecter les connexions inhabituelles ou les activités suspectes.
Oui, toute instance Airflow utilisant le fournisseur apache-airflow-providers-keycloak et exécutant une version antérieure à 0.7.0 est vulnérable.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.