無料スキャン

NextGuard

モダンなソフトウェアチームのための脆弱性モニタリング。

製品

機能
料金
比較
プラグイン
CVEデータベース
脆弱性
会社概要
私たちの働き方
セキュリティ
ガイド
ブログ
サポート

プラットフォーム

WordPress
Drupal
Joomla
PrestaShop
Magento
Laravel

vs 競合他社

vs Patchstack
vs Snyk
vs Socket.dev
vs Dependabot
vs WPScan

法的情報

利用規約
プライバシーポリシー
Cookieポリシー
返金ポリシー

SSL/TLS 保護

安全な決済

GDPR 準拠

セキュアプラットフォーム

AI分析

© 2026 NextGuard. 全著作権所有。

決済は安全に処理されます

CVE-2026-40948 — Vulnerability Details | NextGuard

無料スキャン

CVE-2026-40948

MEDIUMCVE-2026-40948

Apache Airflow: OAuthログインにおけるCSRF — Keycloak認証マネージャーにおけるStateパラメータの欠落

プラットフォーム

python

コンポーネント

apache-airflow-providers-keycloak

修正版

0.7.0

0.7.0

NextGuard

モダンなソフトウェアチームのための脆弱性モニタリング。

製品

機能
料金
比較
プラグイン
CVEデータベース
脆弱性
会社概要
私たちの働き方
セキュリティ
ガイド
ブログ
サポート

プラットフォーム

WordPress
Drupal
Joomla
PrestaShop
Magento
Laravel

vs 競合他社

vs Patchstack
vs Snyk
vs Socket.dev
vs Dependabot
vs WPScan

法的情報

利用規約
プライバシーポリシー
Cookieポリシー
返金ポリシー

SSL/TLS 保護

安全な決済

GDPR 準拠

セキュアプラットフォーム

AI分析

© 2026 NextGuard. 全著作権所有。

決済は安全に処理されます

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年4月

Apache Airflow Providers KeycloakのOAuth認証マネージャーにおいて、OAuth 2.0のstateパラメータの生成・検証が不適切であり、PKCEが使用されていませんでした。この脆弱性を悪用されると、攻撃者は被害者のブラウザに巧妙に細工されたコールバックURLを送り込み、攻撃者のAirflowセッションに被害者をログインさせ、Airflow Connectionsに保存された認証情報を盗み出す可能性があります。影響を受けるバージョンは0.0.1から0.7.0です。0.7.0へのアップデートでこの問題は修正されています。

影響と攻撃シナリオ

CVE-2026-40948 は、apache-airflow-providers-keycloak の Keycloak 認証マネージャーに存在し、同じレルム内の Keycloak アカウントを持つ攻撃者がセッションフィックスまたはクロスサイトリクエストフォージェリ (CSRF) 攻撃を実行することを可能にします。これは、OAuth 2.0 のログイン/ログインコールバックフロー中に state パラメーターの生成または検証が行われず、PKCE (Proof Key for Code Exchange) がないことが原因です。攻撃者は、ユーザーを悪意のあるコールバック URL に誘導し、Airflow 内のユーザーの身元を詐称し、Airflow Connections に保存されている認証情報を潜在的にアクセスできる可能性があります。

悪用の状況

脆弱な Airflow インスタンスと同じレルム内の Keycloak アカウントへのアクセス権を持つ攻撃者は、この脆弱性を悪用できます。攻撃者は悪意のあるコールバック URL を作成し、正規のユーザーに送信できます。ユーザーが URL をクリックすると、攻撃者はユーザーの Airflow セッションにアクセスできる可能性があります。悪用の複雑さは比較的低く、高度な技術スキルは必要なく、有効な Keycloak アカウントとユーザーに URL を送信できる能力のみが必要です。影響は高く、身元詐称と機密データへの潜在的なアクセスを可能にします。

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

レポート1 脅威レポート

EPSS

0.01% (1% パーセンタイル)

影響を受けるソフトウェア

コンポーネントapache-airflow-providers-keycloak

ベンダーApache Software Foundation

影響範囲修正版

0.0.1 – 0.7.00.7.0

0.0.10.7.0

弱点分類 (CWE)

タイムライン

予約済み2026-04-16
公開日2026-04-18
更新日2026-04-20
EPSS 更新日2026-04-26

公開後-21日でパッチ適用

緩和策と回避策

CVE-2026-40948 の主な軽減策は、apache-airflow-providers-keycloak をバージョン 0.7.0 以降にアップグレードすることです。このバージョンは、state パラメーターの生成と検証を実装し、Keycloak 認証フローで PKCE を有効にすることで、脆弱性を修正します。 Airflow インスタンスを保護するために、できるだけ早くこのアップデートを適用することをお勧めします。また、Airflow Connections を確認して、侵害される可能性のある機密認証情報が含まれていないことを確認してください。ロバストなアクセス制御を実装し、疑わしいアクティビティを検出するためにログインアクティビティを監視します。

修正方法翻訳中…

Actualice el paquete `apache-airflow-providers-keycloak` a la versión 0.7.0 o posterior para mitigar la vulnerabilidad CSRF en el flujo de autenticación OAuth. Esta actualización implementa la validación del parámetro `state` y la protección PKCE, previniendo que un atacante pueda secuestrar sesiones de Airflow.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-40948 とは何ですか？（Apache Airflow Providers Keycloak の CSRF）

PKCE (Proof Key for Code Exchange) は、OAuth 2.0 の拡張機能であり、承認コードの傍受攻撃を防ぐことでセキュリティを向上させます。承認コードの盗難を防ぐのに役立ちます。

Apache Airflow Providers Keycloak の CVE-2026-40948 による影響を受けていますか？

CSRF (Cross-Site Request Forgery) は、攻撃者が認証されたユーザーを騙して、Web アプリケーションで意図しないアクションを実行させるタイプの攻撃です。

Apache Airflow Providers Keycloak の CVE-2026-40948 を修正するにはどうすればよいですか？

apache-airflow-providers-keycloak をバージョン 0.7.0 以降にすぐにアップグレードしてください。

CVE-2026-40948 は積極的に悪用されていますか？

Airflow ログを監視して、異常なログインまたは疑わしいアクティビティを検出します。

CVE-2026-40948 に関する Apache Airflow Providers Keycloak の公式アドバイザリはどこで確認できますか？

はい、apache-airflow-providers-keycloak プロバイダーを使用しており、バージョン 0.7.0 より前のバージョンを実行している Airflow インスタンスはすべて脆弱です。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

Python

このCVEがあなたのプロジェクトに影響するか確認

requirements.txt ファイルをアップロードすると、影響の有無を即座にお知らせします。

対応フォーマット: requirements.txt · Pipfile.lock

無料スキャン

requirements.txt をアップロード