プラットフォーム
python
コンポーネント
apache-airflow
修正版
3.2.0
3.2.0
Apache AirflowのDagRun waitエンドポイントにおける脆弱性CVE-2026-34538は、閲覧権限のみを持つユーザーにXComの結果値を公開する問題を抱えています。この情報漏洩は、FAB RBACモデルおよびAirflowのセキュリティモデルの設計意図に反しており、機密性の高いデータへの不正アクセスを可能にする可能性があります。影響を受けるバージョンはApache Airflow 3.0.0から3.1.8です。この問題は、3.2.0以降のバージョンで修正されています。
この脆弱性を悪用されると、攻撃者はDAG Run閲覧権限を持つユーザーになりすますことで、本来アクセスできないはずのXComに格納された機密情報にアクセスできるようになります。XComは、タスク間でデータを共有するために使用されるため、機密性の高い情報(APIキー、データベースパスワード、個人情報など)が格納されている可能性があります。攻撃者は、これらの情報を窃取し、Airflow環境の他のコンポーネントへの不正アクセスや、さらなる攻撃への足がかりとして利用する可能性があります。この脆弱性は、特にFAB RBACモデルを導入している環境において、アクセス制御の抜け穴となり、重大なセキュリティインシデントにつながる可能性があります。類似の脆弱性は、RBACモデルの設計上の欠陥から発生することがあります。
CVE-2026-34538は2026年4月9日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、公開されている情報に基づき、攻撃者はこの脆弱性を利用して機密情報を窃取する可能性があります。EPSSスコアは、公開情報が限られているため、現時点では評価されていません。NVDおよびCISAの情報を継続的に監視し、新たな情報が得られた場合は、速やかに対応を検討してください。
Organizations utilizing Apache Airflow with deployments that grant the Viewer role access to DAG Runs are particularly at risk. This includes environments leveraging shared hosting services where multiple users may have access to the same Airflow instance. Legacy Airflow configurations that haven't been regularly reviewed for security best practices are also vulnerable.
• python / airflow:
import airflow
# Check Airflow version
print(airflow.__version__)
# If version is <= 3.1.8, the vulnerability is present.• linux / server:
# Check for Airflow processes
ps aux | grep airflow
# Review Airflow logs for unauthorized access attempts to the DagRun wait endpoint.
journalctl -u airflow -f | grep "DagRun wait endpoint"• generic web:
curl -I http://<airflow_host>/api/v1/dags/<dag_id>/dagRuns/<dag_run_id>/xcom
# Check the response headers for any unusual access patterns or unauthorized requests.disclosure
エクスプロイト状況
EPSS
0.04% (12% パーセンタイル)
CVSS ベクトル
Apache Airflow 3.2.0へのアップグレードが推奨される対応策です。アップグレードが一時的に困難な場合は、FAB RBACモデルのアクセス制御設定を見直し、XComへのアクセスを厳格に制限することを検討してください。また、WAF(Web Application Firewall)やリバースプロキシを使用して、DagRun waitエンドポイントへの不正なアクセスを検知・遮断するルールを実装することも有効です。SigmaやYARAルールを用いて、XCom情報の不正なアクセスを監視することも推奨されます。アップグレード後、Airflowのアクセス制御設定が正しく機能していることを確認し、XComへのアクセスが制限されていることを検証してください。
Actualice Apache Airflow a la versión 3.2.0 o posterior para solucionar la vulnerabilidad. Esta actualización corrige el problema de exposición de XCom al permitir que los usuarios con permisos de solo lectura de DagRun accedan a los resultados de XCom, lo que contraviene el modelo de control de acceso basado en roles (RBAC) de FAB.
脆弱性分析と重要アラートをメールでお届けします。
Apache AirflowのDagRun waitエンドポイントにおける脆弱性で、閲覧権限を持つユーザーにXComの結果値を公開する問題を抱えています。
Apache Airflowのバージョンが3.0.0~3.1.8を使用している場合は影響を受けます。
Apache Airflowを3.2.0以降のバージョンにアップグレードしてください。
現時点では具体的な悪用事例は報告されていませんが、潜在的なリスクは存在します。
Apache AirflowのセキュリティアドバイザリやNVD(National Vulnerability Database)で詳細を確認できます。
requirements.txt ファイルをアップロードすると、影響の有無を即座にお知らせします。