プラットフォーム
python
コンポーネント
apache-airflow
修正版
3.2.0
3.2.0
CVE-2026-32228 は、Apache Airflow の UI/API ユーザーにおける脆弱性です。アセットマテリアライズ権限を持つユーザーが、本来アクセス権のない DAG をトリガーできる可能性があります。この脆弱性は Apache Airflow のバージョン 3.0.0 から 3.2.0 までに影響します。Apache Airflow 3.2.0 へのアップグレードで修正されています。
Apache Airflow の CVE-2026-32228 は、アセットのマテリアライズ権限を持つ UI/API ユーザーが、アクセス権のない DAG をトリガーすることを可能にします。これは重大なセキュリティリスクをもたらします。悪意のあるユーザーが不正なワークフローを実行し、機密データを漏洩させたり、重要なオペレーションを中断させたりする可能性があります。この脆弱性の深刻度は、マテリアライズ権限を持つユーザーのアクセスレベルと、トリガーできる DAG の機密性によって異なります。アセットのマテリアライズは、オブジェクトの永続的な表現を作成することが多く、この欠陥は、これらのアセットに基づいて DAG をトリガーする際のアクセス制御の失敗を利用します。
この脆弱性は、'assetmaterialize' 権限を持つユーザーがアセットのマテリアライズを試行し、その結果、アクセス権のない DAG をトリガーしようとすると発生します。このシナリオは、複数のユーザーが Airflow リソースへの異なるアクセスレベルを持つ環境で特に懸念されます。攻撃者はこの脆弱性を悪用して、機密情報にアクセスしたり、Airflow ワークフローを操作したりする可能性があります。悪用には、攻撃者が 'assetmaterialize' 権限を持っていることが必要であり、これは限られた特権を持つユーザーに意図せずに付与される可能性があります。
Organizations heavily reliant on Apache Airflow for data orchestration and workflow automation are at risk. Specifically, environments where multiple users have asset materialize permissions, or where DAGs are configured with overly permissive access controls, are particularly vulnerable. Shared hosting environments running Airflow also present a heightened risk.
• python / airflow: Check Airflow version using airflow version. Verify user permissions related to asset materialize. Review Airflow logs for unusual DAG triggering activity by users with asset materialize permissions.
• generic web: Monitor Airflow UI for unauthorized DAG executions. Examine Airflow logs for suspicious user activity and error messages related to permission denials.
disclosure
エクスプロイト状況
EPSS
0.10% (26% パーセンタイル)
CVE-2026-32228 の軽減策として推奨されるのは、Apache Airflow をバージョン 3.2.0 以降にアップグレードすることです。このバージョンには、不正な DAG の実行を許可するアクセス制御の失敗に対処する修正が含まれています。Airflow 環境を保護するために、できるだけ早くこのアップグレードを実行することを強くお勧めします。アップグレードする前に、Airflow インストールの完全なバックアップを作成し、互換性を確保し、予期しない中断を回避するために、ステージング環境でアップグレードをテストすることが重要です。詳細な手順については、Apache Airflow の公式ドキュメントを参照してください。
Actualice Apache Airflow a la versión 3.2.0 o superior para mitigar el riesgo. Esta versión corrige la vulnerabilidad que permite a usuarios con permisos de materialización de activos activar DAGs a los que no deberían tener acceso.
脆弱性分析と重要アラートをメールでお届けします。
Airflow では、'アセット' はファイル、データベーステーブル、機械学習モデルなどのオブジェクトの永続的な表現です。これは、異なる DAG 間でデータを共有するために使用されます。
'アセット' をマテリアライズするとは、ファイルシステムまたはデータベースに通常保存される、そのアセットの永続的なバージョンを作成することを意味します。
バージョン 3.2.0 以降にアップグレードせずにこの脆弱性を軽減するための完全な回避策はありません。'asset_materialize' 権限を制限することは役立ちますが、完全な解決策ではありません。
Airflow のバージョンが 3.2.0 より前の場合は、この脆弱性に対して脆弱です。バージョンを特定する方法については、Airflow のドキュメントを参照してください。
システムが侵害された可能性がある場合は、すぐにネットワークから隔離し、監査ログを確認し、セキュリティの専門家に相談する必要があります。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。
requirements.txt ファイルをアップロードすると、影響の有無を即座にお知らせします。