プラットフォーム
python
コンポーネント
apache-airflow
修正版
3.2.0
3.2.0
CVE-2026-25917 は、Apache Airflow における不適切なシリアル化による脆弱性です。Dag Author が、本来は実行できない Web サーバーコンテキストでコードを実行できる可能性があります。この脆弱性は Apache Airflow のバージョン 0.0.0 から 3.2.0 までに影響します。Apache Airflow 3.2.0 へのアップグレードで修正されています。
Apache Airflow の CVE-2026-25917 は、通常、Web サーバーのコンテキストでコードを実行できない DAG 著者が、悪意のある XCom ペイロードを作成することで、任意のコードを実行できる可能性があります。DAG 著者は通常信頼されているものの、この問題の重大度は、Airflow 環境内の固有の制限により低として分類されています。この脆弱性は、Airflow が XCom データを処理する方法にあり、入力が適切に検証されない場合、悪意のあるコードの挿入が可能になります。この挿入により、Web サーバー上でコマンドが実行され、システム全体の整合性が損なわれる可能性があります。この脆弱性は、データベースや機密リソースへの直接アクセスを許可するものではなく、Web サーバーのコンテキスト内でコードの実行のみを許可するということを理解することが重要です。
この脆弱性は、悪意のある XCom ペイロードを特別に作成して、Airflow Web サーバー上で任意のコードを挿入および実行するように設計された悪意のある DAG を作成することで悪用されます。DAG 著者は、アクセスを活用して、この DAG を Airflow にアップロードし、DAG が実行されるときに悪意のあるコードの実行をトリガーできます。搾取の有効性は、Airflow 環境の構成と DAG を実行するユーザーの権限に依存します。DAG 著者は通常、高いレベルの信頼を得ているため、追加のセキュリティ対策が実装されていない場合、搾取がより容易になる可能性があります。この脆弱性は、悪意のある DAG 著者が必要であり、実行できるコードが制限されているため、重大度が低いと見なされます。
Organizations heavily reliant on Apache Airflow for orchestrating complex workflows, particularly those with a large number of Dag Authors or those who grant Dag Authors extensive permissions, are at increased risk. Environments where sensitive data is processed or stored within Airflow DAGs are also particularly vulnerable.
• python / airflow: Inspect XCom payloads for suspicious code patterns using Airflow's logging and monitoring tools. • python / airflow: Monitor Airflow webserver logs for unusual process executions or errors related to XCom processing. • python / airflow: Review Dag Author permissions and restrict access to sensitive resources. • python / airflow: Use Airflow's built-in security features, such as role-based access control (RBAC), to limit the privileges of Dag Authors.
disclosure
エクスプロイト状況
EPSS
0.03% (9% パーセンタイル)
CVE-2026-25917 の推奨される軽減策は、Apache Airflow をバージョン 3.2.0 以降にアップグレードすることです。このバージョンには、XCom データを適切に検証およびサニタイズすることで脆弱性を修正する修正が含まれており、任意のコードの実行を防ぎます。Airflow 環境を保護するために、できるだけ早くこのアップグレードを実行することを強くお勧めします。さらに、DAG 著者がタスクを実行するために必要な最小限の特権を持っていることを確認するために、セキュリティおよびアクセス ポリシーを確認してください。DAG のコード レビュー プロセスを実装することも、悪意のあるコードの導入を検出および防止するのに役立ちます。疑わしいアクティビティの Airflow ログを監視することは、潜在的な搾取試行を特定するための推奨されるプラクティスです。
Actualice Apache Airflow a la versión 3.2.0 o posterior para mitigar la vulnerabilidad. Esta actualización corrige la forma en que se deserializan los XCom, evitando la ejecución de código arbitrario por parte de autores de DAGs maliciosos.
脆弱性分析と重要アラートをメールでお届けします。
XCom は、Airflow 内でタスク間でデータを渡すためのメカニズムです。
悪意のある DAG 著者が必要であり、実行されるコードは Web サーバーのコンテキストに限定されています。
セキュリティとアクセス ポリシーを確認し、コード レビューを実装し、ログを監視してください。
はい、3.2.0 より前のバージョンを使用しているすべての Airflow 環境が脆弱です。
National Vulnerability Database (NVD) の CVE-2026-25917 ページと Airflow 3.2.0 のリリース ノートを参照してください。
requirements.txt ファイルをアップロードすると、影響の有無を即座にお知らせします。