Plataforma
python
Componente
apache-airflow
Corrigido em
3.1.8
3.1.8
Uma vulnerabilidade foi descoberta no Apache Airflow, afetando versões de 0.0.0 até 3.1.8. Essa falha permite que usuários com permissão de leitura visualizem propriedades sensíveis, como accesskey e connectionstring, na interface de usuário de Conexões e, potencialmente, em logs. O problema está relacionado à falta de marcação dessas propriedades como nomes sensíveis no mascarador de segredos, impactando principalmente conexões do Azure Service Bus, mas podendo afetar outros provedores que utilizem campos similares para armazenar dados confidenciais. Uma correção foi lançada na versão 3.1.8.
A vulnerabilidade CVE-2026-25219 no Apache Airflow afeta a forma como as credenciais sensíveis são gerenciadas nas conexões. Especificamente, as propriedades accesskey e connectionstring das conexões, frequentemente usadas com o Azure Service Bus para armazenar informações confidenciais, não estavam marcadas como nomes sensíveis no mascarador de segredos. Isso significa que um usuário com permissões de leitura poderia visualizar esses valores na interface do usuário de Conexões. Além disso, se uma conexão fosse acidentalmente registrada nos logs, esses valores sensíveis poderiam ser expostos. Embora o Azure Service Bus seja o caso de uso mais evidente, outros provedores que utilizem esses campos para armazenar dados sensíveis também podem ser afetados. A gravidade desta vulnerabilidade reside na potencial exposição de credenciais que poderiam permitir o acesso não autorizado a recursos críticos.
Um atacante com permissões de leitura na interface do usuário de Conexões poderia visualizar diretamente os valores de accesskey e connectionstring. Se os logs do Airflow não estiverem configurados corretamente, um atacante poderia encontrar esses valores nos logs. O risco é particularmente alto se essas credenciais forem usadas para acessar serviços críticos, como o Azure Service Bus, pois um atacante poderia usar essas credenciais para comprometer esses serviços. A falta de mascaramento de segredos na interface do usuário e nos logs simplifica a exploração desta vulnerabilidade.
Status do Exploit
EPSS
0.02% (percentil 6%)
A solução para esta vulnerabilidade é atualizar o Apache Airflow para a versão 3.1.8 ou superior. Esta versão corrige o problema marcando corretamente as propriedades accesskey e connectionstring como nomes sensíveis no mascarador de segredos. Recomendamos fortemente aplicar esta atualização o mais breve possível para proteger suas credenciais. Além disso, revise seus logs do Airflow para identificar quaisquer instâncias em que as credenciais foram expostas acidentalmente e tome medidas para mitigar qualquer acesso não autorizado potencial. Considere implementar políticas de acesso mais rigorosas para as conexões e limitar o acesso à interface do usuário de Conexões apenas a usuários autorizados.
Actualice Apache Airflow a la versión 3.1.8 o superior para evitar la exposición de credenciales sensibles en la interfaz de usuario y en los registros. Verifique las conexiones existentes, especialmente aquellas que utilizan Azure Service Bus, para asegurarse de que no almacenan información confidencial en los campos 'access_key' o 'connection_string'.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
O mascarador de segredos é um recurso do Airflow que oculta informações sensíveis, como senhas e chaves de acesso, na interface do usuário e nos logs.
A versão 3.1.8 corrige a vulnerabilidade marcando corretamente as propriedades sensíveis, prevenindo a exposição de credenciais.
Altere imediatamente as senhas e chaves de acesso afetadas e revise os logs para detectar qualquer atividade suspeita.
Implemente políticas de acesso rigorosas, revise seus logs regularmente e considere o uso de soluções de gerenciamento de segredos.
Afeta principalmente as conexões que utilizam as propriedades accesskey e connectionstring, especialmente aquelas que interagem com o Azure Service Bus ou outros serviços que armazenam dados sensíveis nesses campos.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.