Platform
python
Component
apache-airflow
Opgelost in
3.2.0
3.2.0
CVE-2026-32690 betreft een probleem met het maskeren van geheimen in Apache Airflow. Wanneer variabelen met gevoelige informatie in JSON-formaat worden opgeslagen, worden deze niet correct verborgen bij ophalen door gebruikers. Deze kwetsbaarheid is van toepassing op Apache Airflow versies 3.0.0 tot en met 3.2.0. Een oplossing is geïmplementeerd in Apache Airflow 3.2.0.
De CVE-2026-32690 kwetsbaarheid in Apache Airflow beïnvloedt installaties die gevoelige waarden opslaan in JSON-variabelen. Specifiek, wanneer variabelen worden opgeslagen als JSON-dictionaries en door een gebruiker worden opgehaald, worden secrets die in geneste velden van deze dictionaries zijn opgeslagen, niet correct verborgen. Dit kan een kwaadwillende gebruiker in staat stellen om vertrouwelijk informatie te verkrijgen, zoals wachtwoorden, API-sleutels of andere gevoelige gegevens, die eigenlijk beschermd zouden moeten worden. De ernst van dit probleem hangt af van de hoeveelheid en de gevoeligheid van de secrets die in JSON-variabelen zijn opgeslagen.
Een aanvaller met toegang tot de Airflow gebruikersinterface of applicatielogs kan deze kwetsbaarheid mogelijk misbruiken. Als een gebruiker toegang heeft tot Airflow-variabelen en deze variabelen zijn opgeslagen als JSON met geneste secrets, kan de aanvaller de secrets lezen zonder verbergen. De waarschijnlijkheid van misbruik hangt af van de beveiligingsconfiguratie van Airflow en de toegangsrechten van gebruikers. Het ontbreken van verbergen van secrets in API-antwoorden is de primaire aanvalsplaat.
Organizations using Apache Airflow versions 3.0.0 through 3.2.0, particularly those storing sensitive information as JSON dictionaries within Airflow Variables, are at risk. Shared Airflow deployments or environments with less stringent access controls are also more vulnerable.
• python / airflow:
import airflow
# Check Airflow version
print(airflow.__version__)
# Review Variables stored as JSON dictionaries for sensitive data• generic web:
curl -I http://<airflow_url>/api/v1/variables | grep -i 'content-type: application/json'disclosure
Exploit Status
EPSS
0.10% (28% percentiel)
De meest effectieve mitigatie is het upgraden naar Apache Airflow versie 3.2.0 of hoger. Deze versie bevat een correctie die ervoor zorgt dat secrets die in JSON-variabelen zijn opgeslagen, correct worden verborgen. Als een onmiddellijke upgrade niet mogelijk is, vermijd dan het gebruik van JSON-variabelen om gevoelige informatie op te slaan. Overweeg in plaats daarvan alternatieve methoden voor geheimenbeheer, zoals omgevingsvariabelen of dedicated geheimenbeheeroplossingen, die een hoger niveau van beveiliging en verbergen bieden. Upgraden is cruciaal om uw infrastructuur en gegevens te beschermen.
Actualice Apache Airflow a la versión 3.2.0 o superior para evitar la exposición de secretos almacenados en variables JSON. Verifique la configuración de sus variables y evite almacenar información sensible en formato JSON si no es estrictamente necesario. Consulte la documentación oficial de Apache Airflow para obtener más detalles sobre la gestión segura de variables.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Verbergen betekent het verbergen of vervangen van secrets door tekens of symbolen, zodat ze niet leesbaar zijn in logs, de gebruikersinterface of andere plaatsen waar ze per ongeluk kunnen worden blootgesteld.
Controleer de configuratie van uw Airflow-variabelen. Als een variabele is gedefinieerd als een JSON-dictionary en gevoelige informatie bevat, is deze mogelijk kwetsbaar.
Ja, overweeg omgevingsvariabelen, geheimenbeheeroplossingen zoals HashiCorp Vault, AWS Secrets Manager of Azure Key Vault te gebruiken. Deze opties bieden een hoger niveau van beveiliging.
Zorg ervoor dat er geen oude configuraties meer zijn die de kwetsbare methode gebruiken. Controleer uw DAG's en configuraties om alle afhankelijkheden van JSON-variabelen met secrets te verwijderen.
Dat hangt af van de gevoeligheid van de opgeslagen secrets en de beveiligingsconfiguratie van uw Airflow-omgeving. Het wordt echter ten zeerste aanbevolen om de correctie zo snel mogelijk toe te passen.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.