Platform
python
Component
apache-airflow
Opgelost in
3.2.0
3.2.0
CVE-2026-34538 is een kwetsbaarheid in Apache Airflow die betrekking heeft op de onthulling van XCom resultaten. Door een configuratiefout kunnen gebruikers met alleen leesrechten (zoals de Viewer rol) toegang krijgen tot XCom data, wat in strijd is met het FAB RBAC model en de beveiligingsdocumentatie. Deze kwetsbaarheid stelt aanvallers in staat om potentieel gevoelige informatie te achterhalen die anders beschermd zou moeten zijn. De kwetsbaarheid treft Apache Airflow versies 3.0.0 tot en met 3.2.0rc2, maar is verholpen in versie 3.2.0.
De impact van CVE-2026-34538 is significant, omdat het de integriteit van het toegangscontrolemodel van Airflow schendt. XComs worden gebruikt om data tussen taken in een DAG uit te wisselen, en deze data kan gevoelige informatie bevatten, zoals API sleutels, database credentials, of andere vertrouwelijke gegevens. Een aanvaller met Viewer rechten kan deze XCom data inzien, wat kan leiden tot ongeautoriseerde toegang tot systemen en data die door Airflow worden beheerd. Dit kan resulteren in data-exfiltratie, manipulatie van workflows, of zelfs volledige compromittering van de Airflow omgeving. De kwetsbaarheid maakt het mogelijk om informatie te verkrijgen die de beveiliging van de gehele pipeline in gevaar kan brengen, vergelijkbaar met het blootleggen van gevoelige configuratiebestanden.
CVE-2026-34538 werd gepubliceerd op 9 april 2026. De CVSS score is 6.5 (MEDIUM), wat duidt op een matig risico. Er zijn momenteel geen publiekelijk beschikbare Proof-of-Concept (POC) exploits bekend, maar de kwetsbaarheid is significant genoeg om actief te worden gescand. De kwetsbaarheid is niet opgenomen in de KEV catalogus, maar de impact op de toegangscontrole maakt het een aandachtspunt voor organisaties die Airflow gebruiken. Er zijn geen meldingen van actieve campagnes bekend, maar het is aannemelijk dat deze kwetsbaarheid in de toekomst zal worden misbruikt.
Organizations utilizing Apache Airflow with deployments that grant the Viewer role access to DAG Runs are particularly at risk. This includes environments leveraging shared hosting services where multiple users may have access to the same Airflow instance. Legacy Airflow configurations that haven't been regularly reviewed for security best practices are also vulnerable.
• python / airflow:
import airflow
# Check Airflow version
print(airflow.__version__)
# If version is <= 3.1.8, the vulnerability is present.• linux / server:
# Check for Airflow processes
ps aux | grep airflow
# Review Airflow logs for unauthorized access attempts to the DagRun wait endpoint.
journalctl -u airflow -f | grep "DagRun wait endpoint"• generic web:
curl -I http://<airflow_host>/api/v1/dags/<dag_id>/dagRuns/<dag_run_id>/xcom
# Check the response headers for any unusual access patterns or unauthorized requests.disclosure
Exploit Status
EPSS
0.04% (12% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2026-34538 is het upgraden van Apache Airflow naar versie 3.2.0 of hoger. Deze versie bevat de correctie die de onthulling van XCom data aan ongeautoriseerde gebruikers voorkomt. Indien een directe upgrade niet mogelijk is, overweeg dan om de toegangscontrole in Airflow te verfijnen door de Viewer rol verder te beperken en te zorgen voor een strikte naleving van het FAB RBAC model. Het implementeren van een Web Application Firewall (WAF) kan helpen om verdachte verzoeken naar de DagRun wait endpoint te blokkeren. Controleer de Airflow logs op ongebruikelijke toegangspatronen die kunnen wijzen op misbruik van de kwetsbaarheid. Na de upgrade, bevestig de correctie door een gebruiker met Viewer rechten te testen en te verifiëren dat deze geen toegang meer heeft tot XCom resultaten.
Actualice Apache Airflow a la versión 3.2.0 o posterior para solucionar la vulnerabilidad. Esta actualización corrige el problema de exposición de XCom al permitir que los usuarios con permisos de solo lectura de DagRun accedan a los resultados de XCom, lo que contraviene el modelo de control de acceso basado en roles (RBAC) de FAB.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Het is een kwetsbaarheid in Apache Airflow waarbij XCom resultaten onterecht worden getoond aan gebruikers met alleen leesrechten, waardoor gevoelige data blootgesteld kan worden.
Ja, als u Apache Airflow gebruikt in versie 3.0.0 tot en met 3.2.0rc2, dan bent u kwetsbaar voor deze kwetsbaarheid.
Upgrade Apache Airflow naar versie 3.2.0 of hoger om de kwetsbaarheid te verhelpen. Indien dit niet mogelijk is, verfijn dan de toegangscontrole.
Er zijn momenteel geen meldingen van actieve campagnes, maar de kwetsbaarheid is significant genoeg om actief te worden gescand.
Raadpleeg de Apache Airflow beveiligingsadvies en de NVD (National Vulnerability Database) voor meer details over CVE-2026-34538.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.