プラットフォーム
python
コンポーネント
apache-airflow
修正版
3.2.0
3.2.0
CVE-2026-30912 は、Apache Airflow における SQL エラー処理の脆弱性です。SQL エラーが発生した場合、エラーの例外とスタックトレースが API を通じて公開される可能性があり、攻撃者が追加情報を取得する可能性があります。この脆弱性は Apache Airflow のバージョン 0.0.0 から 3.2.0 までに影響します。Apache Airflow 3.2.0 へのアップグレードで修正されています。
Apache Airflow の CVE-2026-30912 は、'api/exposestacktraces' が false に設定されている場合でも、API を通じて機密情報を公開します。具体的には、SQL エラーが発生した場合、例外とスタックトレースが API を通じて公開されます。これにより、攻撃者は、基盤となるインフラストラクチャ、データベース構成、またはコードスニペットの詳細を入手できる可能性があり、将来の攻撃に使用される可能性があります。この脆弱性の重大性は、攻撃者が Airflow システムとその管理するデータのセキュリティを侵害するために貴重な情報を収集する可能性があることにあります。SQL エラーに限定されているように見えるスタックトレースの公開であっても、Airflow タスクの内部動作に関する重要な洞察を明らかにする可能性があります。
攻撃者は、エラーを生成するように設計された悪意のある SQL クエリを送信することで、この脆弱性を悪用する可能性があります。SQL エラーをトリガーすると、攻撃者は Airflow API にアクセスし、関連するスタックトレースを取得できます。悪用の複雑さは比較的低く、Airflow が使用するデータベースに SQL クエリを送信できることが必要です。Airflow API がパブリックに公開されている場合、または安全でないネットワーク経由で公開されている場合は、悪用の可能性が高くなります。適切な軽減策、例えばバージョン 3.2.0 へのアップグレードは、このタイプの攻撃を防ぐために不可欠です。
Organizations heavily reliant on Apache Airflow for data orchestration and ETL pipelines are at increased risk. Environments with less stringent API access controls or those running older, unpatched Airflow versions are particularly vulnerable. Shared hosting environments where multiple users share an Airflow instance also face a heightened risk due to the potential for cross-tenant information leakage.
• python / airflow:
import requests
import json
# Replace with your Airflow API endpoint
api_endpoint = "http://your_airflow_api/api/v1/dags/<dag_id>/dagRuns/<dag_run_id>"
# Trigger an error to check for stack trace exposure
payload = {}
headers = {'Content-Type': 'application/json'}
response = requests.post(api_endpoint, data=json.dumps(payload), headers=headers)
if response.status_code == 200:
if "traceback" in response.text.lower():
print("Potential vulnerability detected: Stack trace exposed.")
else:
print("No stack trace exposed.")
else:
print(f"Error: {response.status_code}")• generic web:
curl -I http://your_airflow_api/api/v1/dags/<dag_id>/dagRuns/<dag_run_id> | grep "traceback"disclosure
エクスプロイト状況
EPSS
0.08% (23% パーセンタイル)
CVE-2026-30912 の推奨される軽減策は、Apache Airflow をバージョン 3.2.0 以降にアップグレードすることです。このバージョンには、SQL エラーが発生した場合、API で例外とスタックトレースを公開しないようにする修正が含まれています。Airflow 環境を保護するために、できるだけ早くこのアップグレードを実行することを強くお勧めします。アップグレードする前に、Airflow の構成と関連するデータの完全なバックアップを作成することが不可欠です。さらに、本番環境に展開する前に、ステージング環境でアップグレードをテストすることをお勧めします。アップグレード後、Airflow のログを監視して、修正が正しく適用され、新しい問題が発生していないことを確認することが重要です。
Actualice Apache Airflow a la versión 3.2.0 o superior para evitar la exposición de trazas de pila en caso de errores de SQL. Esta actualización corrige la vulnerabilidad al asegurar que las trazas de pila no se expongan a través de la API, incluso cuando 'api/expose_stack_traces' esté desactivado.
脆弱性分析と重要アラートをメールでお届けします。
スタックトレースは、エラーにつながる関数呼び出しのシーケンスを示すレポートです。ソースコードとシステム構成に関する情報を明らかにする可能性があります。
バージョン 3.2.0 は、SQL エラーが発生した場合、API でスタックトレースを公開しないようにすることで、この脆弱性を修正します。
Airflow の構成と関連するデータの完全なバックアップを作成します。本番環境に展開する前に、ステージング環境でアップグレードをテストします。
アップグレード後、Airflow のログを監視して、修正が正しく適用されたことを確認します。
この脆弱性は、3.2.0 より前の Airflow バージョンに影響を与えます。
requirements.txt ファイルをアップロードすると、影響の有無を即座にお知らせします。