Platform
python
Component
apache-airflow
Opgelost in
3.2.0
3.2.0
In Apache Airflow versies 0.0.0 tot en met 3.2.0 werd bij het optreden van SQL-fouten de exception/stack trace onterecht blootgesteld in de API, zelfs wanneer 'api/exposestacktraces' op 'false' stond. Dit kon leiden tot het onthullen van extra informatie aan potentiële aanvallers. De kwetsbaarheid is verholpen in Apache Airflow 3.2.0.
De CVE-2026-30912 kwetsbaarheid in Apache Airflow legt gevoelige informatie bloot via de API, zelfs wanneer 'api/exposestacktraces' op false staat. Specifiek, in geval van SQL-fouten, worden de uitzondering en de stack trace via de API onthuld. Dit kan een aanvaller in staat stellen details te verkrijgen over de onderliggende infrastructuur, de databaseconfiguratie of zelfs codefragmenten, die voor toekomstige aanvallen kunnen worden gebruikt. De ernst van deze kwetsbaarheid ligt in de mogelijkheid voor een aanvaller om waardevolle informatie te verzamelen om de beveiliging van het Airflow-systeem en de gegevens die het beheert, te compromitteren. Het blootleggen van stack traces, zelfs ogenschijnlijk beperkt tot SQL-fouten, kan kritieke inzichten in de interne werking van Airflow-taken onthullen.
Een aanvaller kan deze kwetsbaarheid uitbuiten door kwaadaardige SQL-query's te verzenden die bedoeld zijn om fouten te genereren. Door een SQL-fout te triggeren, kan de aanvaller vervolgens toegang krijgen tot de Airflow-API en de bijbehorende stack trace ophalen. De complexiteit van de exploitatie is relatief laag, aangezien het slechts de mogelijkheid vereist om SQL-query's naar de database te verzenden die door Airflow wordt gebruikt. De waarschijnlijkheid van exploitatie is hoog, vooral in omgevingen waar de Airflow-API publiekelijk wordt blootgesteld of via een onveilig netwerk. Een adequate mitigatie, zoals het upgraden naar versie 3.2.0, is essentieel om dit type aanval te voorkomen.
Organizations heavily reliant on Apache Airflow for data orchestration and ETL pipelines are at increased risk. Environments with less stringent API access controls or those running older, unpatched Airflow versions are particularly vulnerable. Shared hosting environments where multiple users share an Airflow instance also face a heightened risk due to the potential for cross-tenant information leakage.
• python / airflow:
import requests
import json
# Replace with your Airflow API endpoint
api_endpoint = "http://your_airflow_api/api/v1/dags/<dag_id>/dagRuns/<dag_run_id>"
# Trigger an error to check for stack trace exposure
payload = {}
headers = {'Content-Type': 'application/json'}
response = requests.post(api_endpoint, data=json.dumps(payload), headers=headers)
if response.status_code == 200:
if "traceback" in response.text.lower():
print("Potential vulnerability detected: Stack trace exposed.")
else:
print("No stack trace exposed.")
else:
print(f"Error: {response.status_code}")• generic web:
curl -I http://your_airflow_api/api/v1/dags/<dag_id>/dagRuns/<dag_run_id> | grep "traceback"disclosure
Exploit Status
EPSS
0.08% (23% percentiel)
De aanbevolen mitigatie voor CVE-2026-30912 is het upgraden van Apache Airflow naar versie 3.2.0 of hoger. Deze versie bevat een correctie die voorkomt dat uitzonderingen en stack traces in de API worden blootgelegd in geval van SQL-fouten. Het wordt ten zeerste aanbevolen om deze upgrade zo snel mogelijk uit te voeren om uw Airflow-omgeving te beschermen. Voordat u een upgrade uitvoert, is het essentieel om een volledige back-up van uw Airflow-configuratie en de bijbehorende gegevens te maken. Bovendien wordt aanbevolen om de upgrade in een testomgeving te testen voordat deze in productie wordt geïmplementeerd om het risico op serviceonderbrekingen te minimaliseren. Het monitoren van Airflow-logboeken na de upgrade is cruciaal om ervoor te zorgen dat de correctie correct is toegepast en geen nieuwe problemen heeft geïntroduceerd.
Actualice Apache Airflow a la versión 3.2.0 o superior para evitar la exposición de trazas de pila en caso de errores de SQL. Esta actualización corrige la vulnerabilidad al asegurar que las trazas de pila no se expongan a través de la API, incluso cuando 'api/expose_stack_traces' esté desactivado.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Een stack trace is een rapport dat de reeks functie-aanroepen weergeeft die tot een fout hebben geleid. Het kan informatie onthullen over de broncode en de systeemconfiguratie.
Versie 3.2.0 corrigeert de kwetsbaarheid door te voorkomen dat stack traces in de API worden blootgelegd in geval van SQL-fouten.
Maak een volledige back-up van uw Airflow-configuratie en de bijbehorende gegevens. Test de upgrade in een testomgeving voordat u deze in productie implementeert.
Controleer de Airflow-logboeken na de upgrade om ervoor te zorgen dat de correctie correct is toegepast.
Deze kwetsbaarheid heeft invloed op Airflow-versies vóór 3.2.0.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.