प्लेटफ़ॉर्म
python
घटक
apache-airflow
में ठीक किया गया
3.1.8
3.1.8
Apache Airflow में एक भेद्यता पाई गई है जिसमें accesskey और connectionstring कनेक्शन प्रॉपर्टीज़ को सीक्रेट मास्कर्स में संवेदनशील नामों के रूप में चिह्नित नहीं किया गया है। इसका मतलब है कि कनेक्शन UI में पढ़ने की अनुमति वाले उपयोगकर्ता इन मूल्यों को देख सकते हैं, और यदि कनेक्शन गलती से लॉग में लॉग हो जाते हैं, तो वे मान भी देखे जा सकते हैं। Azure Service Bus उन प्रॉपर्टीज़ का उपयोग संवेदनशील मूल्यों को संग्रहीत करने के लिए करता है, और अन्य प्रदाता भी प्रभावित हो सकते हैं यदि वे समान फ़ील्ड का उपयोग संवेदनशील डेटा संग्रहीत करने के लिए करते हैं। Apache Airflow संस्करण 0.0.0 से 3.1.8 तक के संस्करण प्रभावित हैं। इस समस्या को Apache Airflow संस्करण 3.1.8 में ठीक कर दिया गया है।
यह भेद्यता हमलावरों को Apache Airflow कनेक्शन UI के माध्यम से या लॉग फ़ाइलों में उजागर संवेदनशील डेटा तक पहुंचने की अनुमति दे सकती है। Azure Service Bus कनेक्शन के लिए, इसका मतलब है कि हमलावर accesskey और connectionstring को प्राप्त कर सकते हैं, जिससे उन्हें Azure Service Bus संसाधनों तक अनधिकृत पहुंच मिल सकती है। अन्य कनेक्शन प्रकारों के लिए जो समान फ़ील्ड का उपयोग करते हैं, हमलावर समान रूप से संवेदनशील डेटा तक पहुंच प्राप्त कर सकते हैं, जैसे कि डेटाबेस क्रेडेंशियल या API कुंजियाँ। इस भेद्यता का उपयोग डेटा उल्लंघनों, अनधिकृत पहुंच और संभावित रूप से सिस्टम के नियंत्रण को प्राप्त करने के लिए किया जा सकता है। यदि हमलावर डेटाबेस क्रेडेंशियल प्राप्त करने में सक्षम है, तो वे डेटाबेस से संवेदनशील जानकारी निकाल सकते हैं या डेटा को संशोधित कर सकते हैं।
इस भेद्यता की गंभीरता का मूल्यांकन अभी भी किया जा रहा है। सार्वजनिक रूप से उपलब्ध शोषण (POC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, इसका शोषण किया जा सकता है। CISA ने इस भेद्यता के बारे में कोई चेतावनी जारी नहीं की है। NVD ने 2026-04-15 को इस भेद्यता को प्रकाशित किया। इस भेद्यता का EPSS स्कोर अभी तक निर्धारित नहीं किया गया है, लेकिन संवेदनशील डेटा के संभावित जोखिम को देखते हुए, इसे मध्यम से उच्च जोखिम माना जाना चाहिए।
एक्सप्लॉइट स्थिति
EPSS
0.02% (6% शतमक)
Apache Airflow संस्करण 3.1.8 में अपग्रेड करना इस भेद्यता को ठीक करने का सबसे प्रभावी तरीका है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप कनेक्शन UI में संवेदनशील डेटा को देखने से रोकने के लिए एक्सेस नियंत्रण को कड़ा कर सकते हैं। इसके अतिरिक्त, आप लॉगिंग को कॉन्फ़िगर कर सकते हैं ताकि संवेदनशील डेटा लॉग में लॉग न हो। वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके कनेक्शन UI और लॉग फ़ाइलों तक पहुंच को सीमित करना भी एक विकल्प है। सिग्मा या YARA पैटर्न का उपयोग करके लॉग में संवेदनशील डेटा की खोज के लिए निगरानी स्थापित करें। अपग्रेड के बाद, यह सत्यापित करें कि संवेदनशील डेटा अब कनेक्शन UI या लॉग फ़ाइलों में दिखाई नहीं दे रहा है।
Actualice Apache Airflow a la versión 3.1.8 o superior para evitar la exposición de credenciales sensibles en la interfaz de usuario y en los registros. Verifique las conexiones existentes, especialmente aquellas que utilizan Azure Service Bus, para asegurarse de que no almacenan información confidencial en los campos 'access_key' o 'connection_string'.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
यह Apache Airflow में एक भेद्यता है जो कनेक्शन UI और लॉग में संवेदनशील डेटा को उजागर करती है, जैसे कि Azure Service Bus कनेक्शन के लिए accesskey और connectionstring।
यदि आप Apache Airflow के संस्करण 0.0.0 से 3.1.8 का उपयोग कर रहे हैं, तो आप प्रभावित हो सकते हैं, खासकर यदि आप Azure Service Bus या अन्य कनेक्शन प्रकारों का उपयोग कर रहे हैं जो समान फ़ील्ड में संवेदनशील डेटा संग्रहीत करते हैं।
Apache Airflow को संस्करण 3.1.8 में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो एक्सेस नियंत्रण को कड़ा करें और लॉगिंग को कॉन्फ़िगर करें ताकि संवेदनशील डेटा लॉग में लॉग न हो।
वर्तमान में सार्वजनिक रूप से उपलब्ध शोषण (POC) ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, इसका शोषण किया जा सकता है।
आप Apache Airflow सुरक्षा सलाहकार और NVD डेटाबेस पर अधिक जानकारी पा सकते हैं: [https://nvd.nist.gov/vuln/detail/CVE-2026-25219](https://nvd.nist.gov/vuln/detail/CVE-2026-25219)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।