प्लेटफ़ॉर्म
python
घटक
apache-airflow-providers-keycloak
में ठीक किया गया
0.7.0
0.7.0
Apache Airflow Providers Keycloak में एक CSRF (Cross-Site Request Forgery) भेद्यता पाई गई है। इस भेद्यता के कारण, एक हमलावर पीड़ित के ब्राउज़र को एक दुर्भावनापूर्ण URL पर रीडायरेक्ट करके पीड़ित के Airflow सत्र में लॉग इन कर सकता है और Airflow Connections में संग्रहीत क्रेडेंशियल्स को चुरा सकता है। यह भेद्यता Apache Airflow Providers Keycloak के संस्करण 0.0.1 से 0.7.0 तक के संस्करणों को प्रभावित करती है। इस समस्या को 0.7.0 संस्करण में ठीक कर दिया गया है।
CVE-2026-40948 apache-airflow-providers-keycloak के Keycloak प्रमाणीकरण प्रबंधक में मौजूद है, जो समान Realm में Keycloak खाते वाले एक हमलावर को सत्र फिक्सिंग या क्रॉस-साइट अनुरोध जालसाजी (CSRF) हमला करने की अनुमति देता है। यह इसलिए है क्योंकि OAuth 2.0 के लॉगिन/लॉगिन-कॉलबैक प्रवाह के दौरान state पैरामीटर उत्पन्न या मान्य नहीं किया जाता है, और PKCE (प्रूफ की फॉर कोड एक्सचेंज) का अभाव होता है। एक हमलावर उपयोगकर्ता को दुर्भावनापूर्ण कॉल बैक URL पर लुभा सकता है, जिससे वह Airflow में उपयोगकर्ता की पहचान का प्रतिरूपण कर सकता है और संभावित रूप से Airflow कनेक्शन में संग्रहीत क्रेडेंशियल्स तक पहुंच सकता है।
एक हमलावर जिसके पास कमजोर Airflow उदाहरण के समान Realm में Keycloak खाते तक पहुंच है, वह इस भेद्यता का फायदा उठा सकता है। हमलावर एक दुर्भावनापूर्ण कॉल बैक URL बना सकता है और इसे एक वैध उपयोगकर्ता को भेज सकता है। यदि उपयोगकर्ता URL पर क्लिक करता है, तो हमलावर उपयोगकर्ता के Airflow सत्र तक पहुंच प्राप्त कर सकता है। शोषण की जटिलता अपेक्षाकृत कम है, क्योंकि इसके लिए उन्नत तकनीकी कौशल की आवश्यकता नहीं होती है, केवल एक मान्य Keycloak खाता और उपयोगकर्ता को URL भेजने की क्षमता की आवश्यकता होती है। प्रभाव उच्च है, क्योंकि यह पहचान प्रतिरूपण और गोपनीय डेटा तक संभावित पहुंच की अनुमति देता है।
एक्सप्लॉइट स्थिति
EPSS
0.01% (1% शतमक)
CVE-2026-40948 के लिए प्राथमिक शमन apache-airflow-providers-keycloak को संस्करण 0.7.0 या उच्चतर में अपग्रेड करना है। यह संस्करण state पैरामीटर के उत्पादन और सत्यापन को लागू करके और Keycloak प्रमाणीकरण प्रवाह में PKCE को सक्षम करके भेद्यता को ठीक करता है। अपने Airflow उदाहरणों की सुरक्षा के लिए इस अपडेट को जल्द से जल्द लागू करने की सिफारिश की जाती है। इसके अतिरिक्त, Airflow कनेक्शन की जांच करें ताकि यह सुनिश्चित हो सके कि उनमें संवेदनशील क्रेडेंशियल्स शामिल नहीं हैं जिन्हें समझौता किया जा सकता है। मजबूत एक्सेस नियंत्रण लागू करें और किसी भी संदिग्ध गतिविधि का पता लगाने के लिए लॉगिन गतिविधि की निगरानी करें।
Actualice el paquete `apache-airflow-providers-keycloak` a la versión 0.7.0 o posterior para mitigar la vulnerabilidad CSRF en el flujo de autenticación OAuth. Esta actualización implementa la validación del parámetro `state` y la protección PKCE, previniendo que un atacante pueda secuestrar sesiones de Airflow.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
PKCE (प्रूफ की फॉर कोड एक्सचेंज) OAuth 2.0 का एक विस्तार है जो प्राधिकरण कोड इंटरसेप्शन हमलों को रोककर सुरक्षा में सुधार करता है। यह प्राधिकरण कोड की चोरी को रोकने में मदद करता है।
CSRF (क्रॉस-साइट अनुरोध जालसाजी) एक प्रकार का हमला है जिसमें एक हमलावर एक प्रमाणित उपयोगकर्ता को वेब एप्लिकेशन पर अनचाहे कार्य करने के लिए धोखा देता है।
apache-airflow-providers-keycloak को तुरंत संस्करण 0.7.0 या उच्चतर में अपग्रेड करें।
किसी भी असामान्य लॉगिन या संदिग्ध गतिविधि का पता लगाने के लिए Airflow लॉग की निगरानी करें।
हाँ, apache-airflow-providers-keycloak प्रदाता का उपयोग करने और संस्करण 0.7.0 से पहले का संस्करण चलाने वाला कोई भी Airflow उदाहरण कमजोर है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।