プラットフォーム
python
コンポーネント
apache-airflow
修正版
3.2.0
3.2.0
CVE-2026-32690 は、Apache Airflow の変数における脆弱性です。JSON 形式で保存された機密変数が正しくマスキングされず、ユーザーが取得する可能性があります。この脆弱性は Apache Airflow のバージョン 3.0.0 から 3.2.0 までに影響します。Apache Airflow 3.2.0 へのアップグレードで修正されています。
Apache Airflow の CVE-2026-32690 は、JSON 変数に機密値を保存しているインストールに影響します。具体的には、変数が JSON ディクショナリとして保存され、ユーザーによって取得されると、これらのディクショナリ内のネストされたフィールドに保存されているシークレットが適切に隠蔽されません。これにより、悪意のあるユーザーが、保護されているはずのパスワード、API キー、その他の機密データなどの機密情報にアクセスできるようになる可能性があります。この問題の重大度は、JSON 変数に保存されているシークレットの量と機密性に依存します。
Airflow ユーザーインターフェースまたはアプリケーションログへのアクセス権を持つ攻撃者は、この脆弱性を悪用する可能性があります。ユーザーが Airflow 変数にアクセスでき、これらの変数がネストされたシークレットを含む JSON として保存されている場合、攻撃者は隠蔽なしでシークレットを読み取ることができます。悪用の可能性は、Airflow のセキュリティ構成とユーザーアクセス権に依存します。API レスポンスにおけるシークレットの隠蔽の欠如が主な攻撃ベクトルです。
Organizations using Apache Airflow versions 3.0.0 through 3.2.0, particularly those storing sensitive information as JSON dictionaries within Airflow Variables, are at risk. Shared Airflow deployments or environments with less stringent access controls are also more vulnerable.
• python / airflow:
import airflow
# Check Airflow version
print(airflow.__version__)
# Review Variables stored as JSON dictionaries for sensitive data• generic web:
curl -I http://<airflow_url>/api/v1/variables | grep -i 'content-type: application/json'disclosure
エクスプロイト状況
EPSS
0.10% (28% パーセンタイル)
最も効果的な軽減策は、Apache Airflow バージョン 3.2.0 以降にアップグレードすることです。このバージョンには、JSON 変数に保存されているシークレットが適切に隠蔽されるようにする修正が含まれています。直ちにアップグレードできない場合は、機密情報を保存するために JSON 変数を使用しないようにしてください。代わりに、環境変数や専用のシークレット管理ソリューションなど、より高いレベルのセキュリティと隠蔽を提供する代替のシークレット管理方法を検討してください。インフラストラクチャとデータを保護するために、アップグレードが不可欠です。
Actualice Apache Airflow a la versión 3.2.0 o superior para evitar la exposición de secretos almacenados en variables JSON. Verifique la configuración de sus variables y evite almacenar información sensible en formato JSON si no es estrictamente necesario. Consulte la documentación oficial de Apache Airflow para obtener más detalles sobre la gestión segura de variables.
脆弱性分析と重要アラートをメールでお届けします。
隠蔽とは、ログ、ユーザーインターフェース、または誤って公開される可能性のあるその他の場所で読み取れないように、シークレットを文字または記号で隠したり置き換えたりすることです。
Airflow 変数の構成を確認してください。変数が JSON ディクショナリとして定義され、機密情報が含まれている場合は、影響を受ける可能性があります。
はい、HashiCorp Vault、AWS Secrets Manager、または Azure Key Vault などの環境変数またはシークレット管理ソリューションの使用を検討してください。これらのオプションは、より高いレベルのセキュリティを提供します。
まだ脆弱な方法を使用している古い構成がないことを確認してください。DAG と構成を調べて、JSON 変数に保存されているシークレットへの依存関係をすべて削除してください。
保存されているシークレットの機密性と Airflow 環境のセキュリティ構成によって異なります。ただし、できるだけ早く修正を適用することをお勧めします。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。
requirements.txt ファイルをアップロードすると、影響の有無を即座にお知らせします。