Platform
python
Component
apache-airflow-providers-keycloak
Opgelost in
0.7.0
0.7.0
De Keycloak authenticatie manager in apache-airflow-providers-keycloak versie 0.0.1 tot en met 0.7.0 vertoont een Cross-Site Request Forgery (CSRF) kwetsbaarheid. Een aanvaller met een Keycloak account in dezelfde realm kan een slachtoffer via een gemanipuleerde callback URL inloggen op een kwaadaardige Airflow sessie, waardoor credentials in Airflow Connections gestolen kunnen worden. De kwetsbaarheid is verholpen in versie 0.7.0.
CVE-2026-40948 in de Keycloak-authenticatiemanager van apache-airflow-providers-keycloak stelt een aanvaller met een Keycloak-account in hetzelfde realm in staat een sessiefixeer- of Cross-Site Request Forgery (CSRF)-aanval uit te voeren. Dit komt door het ontbreken van generatie of validatie van de state-parameter in OAuth 2.0 tijdens de login/login-callback flow, en het ontbreken van PKCE (Proof Key for Code Exchange). Een aanvaller kan een gebruiker verleiden een kwaadaardige callback-URL te bezoeken, waardoor hij de identiteit van de gebruiker in Airflow kan aannemen en mogelijk inloggegevens kan ophalen die zijn opgeslagen in Airflow Connections.
Een aanvaller die toegang heeft tot een Keycloak-account binnen hetzelfde realm als de kwetsbare Airflow-instantie kan deze kwetsbaarheid uitbuiten. De aanvaller kan een kwaadaardige callback-URL maken en deze naar een legitieme gebruiker sturen. Als de gebruiker op de URL klikt, kan de aanvaller toegang krijgen tot de Airflow-sessie van de gebruiker. De complexiteit van de exploitatie is relatief laag, omdat er geen geavanceerde technische vaardigheden nodig zijn, alleen een geldig Keycloak-account en de mogelijkheid om een URL naar een gebruiker te sturen. De impact is hoog, omdat het identiteitsfraude en mogelijk toegang tot vertrouwelijke gegevens mogelijk maakt.
Exploit Status
EPSS
0.01% (1% percentiel)
De belangrijkste mitigatie voor CVE-2026-40948 is het upgraden naar versie 0.7.0 of hoger van apache-airflow-providers-keycloak. Deze versie corrigeert de kwetsbaarheid door de generatie en validatie van de state-parameter te implementeren en PKCE in de Keycloak-authenticatie flow in te schakelen. Het wordt aanbevolen om deze update zo snel mogelijk toe te passen om uw Airflow-instanties te beschermen. Controleer bovendien Airflow Connections om ervoor te zorgen dat deze geen gevoelige inloggegevens bevatten die gecompromitteerd kunnen worden. Implementeer robuuste toegangscontroles en bewaak login-activiteit op verdachte activiteiten.
Actualice el paquete `apache-airflow-providers-keycloak` a la versión 0.7.0 o posterior para mitigar la vulnerabilidad CSRF en el flujo de autenticación OAuth. Esta actualización implementa la validación del parámetro `state` y la protección PKCE, previniendo que un atacante pueda secuestrar sesiones de Airflow.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
PKCE (Proof Key for Code Exchange) is een uitbreiding van OAuth 2.0 die de beveiliging verbetert door aanvallen op het onderscheppen van autorisatiecodes te voorkomen. Het helpt om diefstal van autorisatiecodes te voorkomen.
CSRF (Cross-Site Request Forgery) is een type aanval waarbij een aanvaller een geauthenticeerde gebruiker misleidt om ongewenste acties op een webapplicatie uit te voeren.
Upgrade onmiddellijk naar versie 0.7.0 of hoger van apache-airflow-providers-keycloak.
Houd de Airflow-logboeken in de gaten op ongebruikelijke inlogpogingen of verdachte activiteiten.
Ja, elke Airflow-instantie die de apache-airflow-providers-keycloak-provider gebruikt en een versie vóór 0.7.0 draait, is kwetsbaar.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.