Plataforma
python
Componente
apache-airflow
Corrigido em
3.2.0
3.2.0
Uma vulnerabilidade foi descoberta no Apache Airflow, afetando versões de 0.0.0 até 3.2.0. Em caso de erros de SQL, as exceções e stack traces eram expostas na API, mesmo quando 'api/exposestacktraces' estava desativado. Isso poderia levar à exposição de informações adicionais para um atacante. A correção está disponível na versão 3.2.0.
A vulnerabilidade CVE-2026-30912 no Apache Airflow expõe informações sensíveis através da API, mesmo quando a configuração 'api/exposestacktraces' está desativada. Especificamente, em caso de erros de SQL, a exceção e o rastreamento de pilha são revelados através da API. Isso pode permitir que um atacante obtenha detalhes sobre a infraestrutura subjacente, a configuração do banco de dados ou até mesmo trechos de código, que podem ser usados para futuros ataques. A gravidade desta vulnerabilidade reside na possibilidade de um atacante coletar informações valiosas para comprometer a segurança do sistema Airflow e dos dados que ele gerencia. A exposição de rastreamentos de pilha, mesmo aparentemente limitada a erros de SQL, pode revelar insights críticos sobre o funcionamento interno das tarefas do Airflow.
Um atacante pode explorar esta vulnerabilidade enviando consultas SQL maliciosas projetadas para gerar erros. Ao acionar um erro de SQL, o atacante pode então acessar a API do Airflow e obter o rastreamento de pilha associado. A complexidade da exploração é relativamente baixa, pois requer apenas a capacidade de enviar consultas SQL para o banco de dados usado pelo Airflow. A probabilidade de exploração é alta, especialmente em ambientes onde a API do Airflow é exposta publicamente ou através de uma rede não segura. A mitigação adequada, como a atualização para a versão 3.2.0, é essencial para prevenir este tipo de ataque.
Organizations heavily reliant on Apache Airflow for data orchestration and ETL pipelines are at increased risk. Environments with less stringent API access controls or those running older, unpatched Airflow versions are particularly vulnerable. Shared hosting environments where multiple users share an Airflow instance also face a heightened risk due to the potential for cross-tenant information leakage.
• python / airflow:
import requests
import json
# Replace with your Airflow API endpoint
api_endpoint = "http://your_airflow_api/api/v1/dags/<dag_id>/dagRuns/<dag_run_id>"
# Trigger an error to check for stack trace exposure
payload = {}
headers = {'Content-Type': 'application/json'}
response = requests.post(api_endpoint, data=json.dumps(payload), headers=headers)
if response.status_code == 200:
if "traceback" in response.text.lower():
print("Potential vulnerability detected: Stack trace exposed.")
else:
print("No stack trace exposed.")
else:
print(f"Error: {response.status_code}")• generic web:
curl -I http://your_airflow_api/api/v1/dags/<dag_id>/dagRuns/<dag_run_id> | grep "traceback"disclosure
Status do Exploit
EPSS
0.08% (percentil 23%)
A mitigação recomendada para CVE-2026-30912 é atualizar o Apache Airflow para a versão 3.2.0 ou superior. Esta versão inclui uma correção que impede a exposição de exceções e rastreamentos de pilha na API em caso de erros de SQL. Recomenda-se fortemente realizar esta atualização o mais rápido possível para proteger seu ambiente Airflow. Antes de atualizar, é crucial realizar um backup completo da configuração do Airflow e dos dados associados. Além disso, é sugerido testar a atualização em um ambiente de teste antes de implantá-la em produção para minimizar o risco de interrupções do serviço. Monitorar os logs do Airflow após a atualização é fundamental para garantir que a correção tenha sido aplicada corretamente e não tenha introduzido novos problemas.
Actualice Apache Airflow a la versión 3.2.0 o superior para evitar la exposición de trazas de pila en caso de errores de SQL. Esta actualización corrige la vulnerabilidad al asegurar que las trazas de pila no se expongan a través de la API, incluso cuando 'api/expose_stack_traces' esté desactivado.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Um rastreamento de pilha é um relatório que mostra a sequência de chamadas de função que levaram a um erro. Ele pode revelar informações sobre o código-fonte e a configuração do sistema.
A versão 3.2.0 corrige a vulnerabilidade impedindo a exposição de rastreamentos de pilha na API em caso de erros de SQL.
Realize um backup completo da configuração do Airflow e dos dados associados. Teste a atualização em um ambiente de teste antes de implantá-la em produção.
Monitore os logs do Airflow após a atualização para garantir que a correção tenha sido aplicada corretamente.
Esta vulnerabilidade afeta as versões do Airflow anteriores à 3.2.0.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.