Platform
python
Component
apache-airflow
Opgelost in
3.1.8
3.1.8
CVE-2026-25219 betreft een kwetsbaarheid in Apache Airflow waarbij de eigenschappen accesskey en connectionstring in verbindingen niet als gevoelige namen werden gemarkeerd in de secrets masker. Hierdoor konden gebruikers met leesrechten deze waarden in de Connection UI inzien en, indien verbindingen per ongeluk in logs werden gelogd, konden deze waarden in de logs worden waargenomen. Dit is met name relevant voor verbindingen met Azure Service Bus, maar mogelijk ook voor andere providers die dezelfde velden gebruiken om gevoelige data op te slaan. Een update naar versie 3.1.8 is beschikbaar om deze kwetsbaarheid te verhelpen.
De kwetsbaarheid CVE-2026-25219 in Apache Airflow heeft betrekking op de manier waarop gevoelige inloggegevens worden behandeld binnen verbindingen. Met name de accesskey en connectionstring verbindingsproperties, die vaak worden gebruikt met Azure Service Bus om vertrouwelijke informatie op te slaan, waren niet gemarkeerd als gevoelige namen in de secrets masker. Dit betekent dat een gebruiker met leesrechten deze waarden in de Connections UI zou kunnen bekijken. Bovendien zouden deze gevoelige waarden in de logs kunnen verschijnen als een verbinding per ongeluk is gelogd. Hoewel Azure Service Bus het meest voorkomende gebruiksscenario is, kunnen ook andere providers die deze velden gebruiken om gevoelige gegevens op te slaan, mogelijk worden getroffen. De ernst van deze kwetsbaarheid ligt in de potentiële blootstelling van inloggegevens die ongeautoriseerde toegang tot kritieke resources kunnen mogelijk maken.
Een aanvaller met leesrechten in de Connections UI zou de waarden van accesskey en connectionstring direct kunnen bekijken. Als de Airflow-logs niet correct zijn geconfigureerd, zou een aanvaller deze waarden in de logs kunnen vinden. Het risico is vooral groot als deze inloggegevens worden gebruikt om toegang te krijgen tot kritieke services zoals Azure Service Bus, omdat een aanvaller deze inloggegevens zou kunnen gebruiken om deze services te compromitteren. Het ontbreken van secrets masking in de UI en de logs vereenvoudigt de exploitatie van deze kwetsbaarheid.
Exploit Status
EPSS
0.02% (6% percentiel)
De oplossing voor deze kwetsbaarheid is om Apache Airflow te upgraden naar versie 3.1.8 of hoger. Deze versie corrigeert het probleem door de accesskey en connectionstring properties correct te markeren als gevoelige namen in de secrets masker. We raden ten zeerste aan om deze upgrade zo snel mogelijk toe te passen om uw inloggegevens te beschermen. Bekijk bovendien uw Airflow-logs om te identificeren of inloggegevens per ongeluk zijn blootgelegd en neem maatregelen om potentiële ongeautoriseerde toegang te beperken. Overweeg om strengere toegangscontroles voor verbindingen te implementeren en de toegang tot de Connections UI te beperken tot geautoriseerde gebruikers.
Actualice Apache Airflow a la versión 3.1.8 o superior para evitar la exposición de credenciales sensibles en la interfaz de usuario y en los registros. Verifique las conexiones existentes, especialmente aquellas que utilizan Azure Service Bus, para asegurarse de que no almacenan información confidencial en los campos 'access_key' o 'connection_string'.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
De secrets masker is een functie in Airflow die gevoelige informatie, zoals wachtwoorden en toegangssleutels, verbergt in de UI en de logs.
Versie 3.1.8 corrigeert de kwetsbaarheid door gevoelige properties correct te markeren, waardoor de blootstelling van inloggegevens wordt voorkomen.
Wijzig onmiddellijk de getroffen wachtwoorden en toegangssleutels en bekijk de logs op verdachte activiteiten.
Implementeer strenge toegangscontroles, bekijk uw logs regelmatig en overweeg het gebruik van secrets management oplossingen.
Het heeft voornamelijk invloed op verbindingen die de accesskey en connectionstring properties gebruiken, met name diegene die interageren met Azure Service Bus of andere services die gevoelige gegevens in deze velden opslaan.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.