プラットフォーム
python
コンポーネント
apache-airflow
修正版
3.1.8
3.1.8
CVE-2026-25219 affects Apache Airflow, specifically concerning the handling of sensitive connection properties. This vulnerability allows users with read permissions to view sensitive data like accesskey and connectionstring within the Connection UI and potentially in application logs. Versions 0.0.0 through 3.1.8 are impacted; however, a fix has been released in version 3.1.8 to address this issue.
Apache Airflow の CVE-2026-25219 は、接続内の機密認証情報の取り扱い方法に影響を与えます。具体的には、Azure Service Bus と連携して機密情報を保存するために一般的に使用される接続の accesskey および connectionstring 接続プロパティは、secrets マスクャーで機密名としてマークされていませんでした。これにより、読み取り権限を持つユーザーは、Connections UI でこれらの値を見ることができました。さらに、接続が誤ってログに記録された場合、これらの機密情報はログに表示される可能性があります。Azure Service Bus が最も一般的なユースケースですが、これらのフィールドを使用して機密データを保存する他のプロバイダーも影響を受ける可能性があります。この脆弱性の重大度は、重要なリソースへの不正アクセスを可能にする可能性のある認証情報の潜在的な暴露にあります。
Connections UI に読み取り権限を持つ攻撃者は、accesskey および connectionstring の値を直接確認できます。Airflow ログが正しく構成されていない場合、攻撃者はログ内でこれらの値を見つける可能性があります。これらの認証情報が Azure Service Bus などの重要なサービスへのアクセスに使用されている場合、リスクは特に高くなります。攻撃者はこれらの認証情報を使用して、これらのサービスを侵害する可能性があります。UI とログでの secrets masking の欠如は、この脆弱性の悪用を簡素化します。
エクスプロイト状況
EPSS
0.02% (6% パーセンタイル)
この脆弱性の解決策は、Apache Airflow をバージョン 3.1.8 以降にアップグレードすることです。このバージョンは、secrets マスクャーで accesskey および connectionstring プロパティを機密名として正しくマークすることで問題を修正します。認証情報を保護するために、できるだけ早くこのアップグレードを適用することを強くお勧めします。さらに、Airflow ログを確認して、認証情報が誤って暴露されたインスタンスを特定し、潜在的な不正アクセスを軽減するための措置を講じてください。接続に対するより厳格なアクセス制御を実装し、Connections UI へのアクセスを承認されたユーザーのみに制限することを検討してください。
Actualice Apache Airflow a la versión 3.1.8 o superior para evitar la exposición de credenciales sensibles en la interfaz de usuario y en los registros. Verifique las conexiones existentes, especialmente aquellas que utilizan Azure Service Bus, para asegurarse de que no almacenan información confidencial en los campos 'access_key' o 'connection_string'.
脆弱性分析と重要アラートをメールでお届けします。
secrets マスクャーは、Airflow の機能で、UI とログ内のパスワードやアクセスキーなどの機密情報を隠します。
バージョン 3.1.8 は、機密プロパティを正しくマークすることで脆弱性を修正し、認証情報の暴露を防ぎます。
直ちに影響を受けるパスワードとアクセスキーを変更し、疑わしいアクティビティがないかログを確認してください。
厳格なアクセス制御を実装し、ログを定期的に確認し、secrets 管理ソリューションの使用を検討してください。
主に、accesskey および connectionstring プロパティを使用する接続に影響を与え、特に Azure Service Bus と連携したり、これらのフィールドで機密データを保存する他のサービスと連携したりする接続に影響を与えます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。
requirements.txt ファイルをアップロードすると、影響の有無を即座にお知らせします。