Plataforma
python
Componente
apache-airflow
Corrigido em
3.2.0
3.2.0
Uma vulnerabilidade foi descoberta no Apache Airflow, afetando versões de 3.0.0 até 3.2.0. Segredos em Variáveis salvos como dicionários JSON não eram devidamente mascarados, expondo os segredos armazenados em campos aninhados quando as variáveis eram recuperadas pelo usuário. Se você não armazena variáveis com valores sensíveis em formato JSON, você não está afetado. Caso contrário, atualize para o Apache Airflow 3.2.0 que implementa a correção.
A vulnerabilidade CVE-2026-32690 no Apache Airflow afeta instalações que armazenam valores sensíveis em variáveis JSON. Especificamente, quando as variáveis são armazenadas como dicionários JSON e recuperadas por um usuário, os segredos armazenados em campos aninhados desses dicionários não são devidamente mascarados. Isso pode permitir que um usuário malicioso acesse informações confidenciais, como senhas, chaves de API ou outros dados sensíveis, que se acreditava estarem protegidos. A gravidade deste problema depende da quantidade e sensibilidade dos segredos armazenados em variáveis JSON.
Um atacante com acesso à interface do usuário do Airflow ou aos logs da aplicação pode potencialmente explorar esta vulnerabilidade. Se um usuário puder acessar as variáveis do Airflow, e essas variáveis forem armazenadas como JSON com segredos aninhados, o atacante pode ler os segredos sem mascaramento. A probabilidade de exploração depende da configuração de segurança do Airflow e das permissões de acesso dos usuários. A falta de mascaramento de segredos nas respostas da API é o vetor de ataque principal.
Organizations using Apache Airflow versions 3.0.0 through 3.2.0, particularly those storing sensitive information as JSON dictionaries within Airflow Variables, are at risk. Shared Airflow deployments or environments with less stringent access controls are also more vulnerable.
• python / airflow:
import airflow
# Check Airflow version
print(airflow.__version__)
# Review Variables stored as JSON dictionaries for sensitive data• generic web:
curl -I http://<airflow_url>/api/v1/variables | grep -i 'content-type: application/json'disclosure
Status do Exploit
EPSS
0.10% (percentil 28%)
A mitigação mais eficaz é atualizar para o Apache Airflow versão 3.2.0 ou superior. Esta versão inclui uma correção que garante que os segredos armazenados em variáveis JSON sejam devidamente mascarados. Se uma atualização imediata não for possível, evite usar variáveis JSON para armazenar informações sensíveis. Em vez disso, considere usar métodos alternativos de gerenciamento de segredos, como variáveis de ambiente ou soluções dedicadas de gerenciamento de segredos, que oferecem um nível mais alto de segurança e mascaramento. A atualização é crucial para proteger sua infraestrutura e dados.
Actualice Apache Airflow a la versión 3.2.0 o superior para evitar la exposición de secretos almacenados en variables JSON. Verifique la configuración de sus variables y evite almacenar información sensible en formato JSON si no es estrictamente necesario. Consulte la documentación oficial de Apache Airflow para obtener más detalles sobre la gestión segura de variables.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
O mascaramento envolve ocultar ou substituir segredos por caracteres ou símbolos para que não sejam legíveis nos logs, na interface do usuário ou em qualquer outro lugar onde possam ser expostos acidentalmente.
Revise a configuração de suas variáveis do Airflow. Se alguma variável estiver definida como um dicionário JSON e contiver informações sensíveis, ela está potencialmente afetada.
Sim, considere usar variáveis de ambiente, soluções de gerenciamento de segredos como HashiCorp Vault, AWS Secrets Manager ou Azure Key Vault. Essas opções oferecem um nível mais alto de segurança.
Certifique-se de que não haja configurações antigas que possam estar usando o método vulnerável. Revise seus DAGs e configurações para remover qualquer dependência de variáveis JSON com segredos.
Depende da sensibilidade dos segredos armazenados e da configuração de segurança do seu ambiente Airflow. No entanto, recomenda-se aplicar a correção o mais rápido possível.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.