Plataforma
python
Componente
apache-airflow
Corrigido em
3.2.0
3.2.0
A vulnerabilidade CVE-2025-57735 no Apache Airflow permite a reutilização de tokens JWT após o logout. Isso ocorre porque, em versões anteriores a 3.2.0, o token autenticado não é invalidado quando o usuário faz logout, possibilitando que seja interceptado e utilizado para acesso não autorizado. A correção foi implementada no Airflow 3.2 e usuários são recomendados a atualizar para esta versão ou superior.
A principal consequência desta vulnerabilidade é a possibilidade de um atacante interceptar um token JWT válido após o logout de um usuário legítimo. Com esse token em mãos, o atacante pode se autenticar como o usuário original, obtendo acesso a todos os recursos e dados que o usuário tinha permissão. O impacto potencial é significativo, incluindo roubo de dados confidenciais, modificação de configurações do Airflow e até mesmo execução de código malicioso, dependendo das permissões do usuário comprometido. A ausência de invalidação do token aumenta a janela de oportunidade para um ataque, tornando a atualização para a versão corrigida uma prioridade.
A vulnerabilidade foi divulgada em 2026-04-09. Não há informações disponíveis sobre exploração ativa ou presença na KEV (CISA KEV). A probabilidade de exploração é considerada baixa devido à necessidade de interceptar um token JWT em um período curto após o logout, mas a severidade crítica da vulnerabilidade exige atenção e correção imediata.
Organizations heavily reliant on Apache Airflow for data orchestration and workflow automation are particularly at risk. Environments with weak network security or where users frequently access Airflow from untrusted networks are also more vulnerable. Shared hosting environments where multiple users share an Airflow instance should be prioritized for patching.
• python / airflow: Check Airflow version using airflow version. If ≤3.2.0rc2, the system is vulnerable.
• python / airflow: Monitor Airflow logs for unusual activity or unauthorized DAG runs.
• generic web: If Airflow is exposed externally, monitor network traffic for suspicious JWT token activity using network intrusion detection systems (NIDS).
disclosure
Status do Exploit
EPSS
0.01% (percentil 2%)
Vetor CVSS
A mitigação primária para CVE-2025-57735 é a atualização imediata para o Apache Airflow versão 3.2.0 ou superior, que inclui a correção para a invalidação de tokens JWT no logout. Em ambientes onde a atualização imediata não é possível, considere implementar medidas de segurança adicionais, como a rotação frequente de tokens e a monitoração de atividades suspeitas relacionadas ao uso de tokens. Implementar políticas de tempo de vida curto para os tokens JWT pode reduzir o período de validade de um token comprometido. Após a atualização, confirme a correção verificando se os tokens são invalidados corretamente ao realizar o logout de um usuário.
Atualize para a versão 3.2.0 ou superior do Apache Airflow para invalidar corretamente os tokens JWT ao sair, prevenindo assim o possível uso não autorizado de tokens interceptados.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-57735 is a critical vulnerability in Apache Airflow versions 3.2.0rc2 and earlier where intercepted JWT tokens can be reused after logout, potentially granting unauthorized access.
Yes, if you are running Apache Airflow versions 3.2.0rc2 or earlier, you are affected by this vulnerability.
Upgrade to Apache Airflow version 3.2.0 or later to invalidate tokens at logout and mitigate the risk.
There is currently no indication of active exploitation, but the vulnerability's severity warrants immediate attention and patching.
Refer to the Apache Airflow security advisories on the Apache project website for the latest information and updates regarding CVE-2025-57735.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.