Plataforma
python
Componente
apache-airflow-providers-keycloak
Corrigido em
0.7.0
0.7.0
A vulnerabilidade CVE-2026-40948 afeta o componente Apache Airflow Providers Keycloak, especificamente nas versões de 0.0.1 a 0.7.0. Esta falha de segurança do tipo CSRF (Cross-Site Request Forgery) permite que um atacante, possuindo uma conta Keycloak no mesmo realm, manipule a sessão de um usuário legítimo no Airflow, potencialmente roubando informações sensíveis armazenadas em Connections. A correção para esta vulnerabilidade está disponível na versão 0.7.0.
A vulnerabilidade CVE-2026-40948 no gerenciador de autenticação Keycloak de apache-airflow-providers-keycloak permite que um atacante com uma conta Keycloak no mesmo reino realize um ataque de fixação de sessão ou Cross-Site Request Forgery (CSRF). Isso ocorre devido à falta de geração ou validação do parâmetro state no OAuth 2.0 durante o fluxo de login/callback, e à ausência de PKCE (Proof Key for Code Exchange). Um atacante pode enganar um usuário para visitar uma URL de callback maliciosa, permitindo que ele se passe pelo usuário no Airflow e, potencialmente, acesse credenciais armazenadas nas Conexões do Airflow.
Um atacante que tenha acesso a uma conta Keycloak dentro do mesmo reino da instância do Airflow vulnerável pode explorar esta vulnerabilidade. O atacante pode criar uma URL de callback maliciosa e enviá-la a um usuário legítimo. Se o usuário clicar na URL, o atacante poderá obter acesso à sessão do Airflow do usuário. A complexidade da exploração é relativamente baixa, pois não requer habilidades técnicas avançadas, apenas uma conta Keycloak válida e a capacidade de enviar uma URL para um usuário. O impacto é alto, pois permite a supostação de identidade e o possível acesso a dados confidenciais.
Status do Exploit
EPSS
0.01% (percentil 1%)
A principal mitigação para CVE-2026-40948 é atualizar para a versão 0.7.0 ou superior de apache-airflow-providers-keycloak. Esta versão corrige a vulnerabilidade implementando a geração e validação do parâmetro state e habilitando o PKCE no fluxo de autenticação Keycloak. Recomenda-se aplicar esta atualização o mais rápido possível para proteger suas instâncias do Airflow. Além disso, revise as Conexões do Airflow para garantir que não contenham credenciais confidenciais que possam ser comprometidas. Implemente controles de acesso robustos e monitore a atividade de login para detectar qualquer atividade suspeita.
Actualice el paquete `apache-airflow-providers-keycloak` a la versión 0.7.0 o posterior para mitigar la vulnerabilidad CSRF en el flujo de autenticación OAuth. Esta actualización implementa la validación del parámetro `state` y la protección PKCE, previniendo que un atacante pueda secuestrar sesiones de Airflow.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
PKCE (Proof Key for Code Exchange) é uma extensão do OAuth 2.0 que melhora a segurança, prevenindo ataques de interceptação de código de autorização. Ajuda a proteger contra o roubo de códigos de autorização.
CSRF (Cross-Site Request Forgery) é um tipo de ataque em que um atacante engana um usuário autenticado para realizar ações indesejadas em uma aplicação web.
Atualize imediatamente para a versão 0.7.0 ou superior de apache-airflow-providers-keycloak.
Monitore os logs do Airflow para detectar logins incomuns ou atividades suspeitas.
Sim, qualquer instância do Airflow que use o provedor apache-airflow-providers-keycloak e esteja executando uma versão anterior à 0.7.0 é vulnerável.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.