平台
python
组件
apache-airflow
修复版本
3.2.0
3.2.0
CVE-2025-57735是一个影响Apache Airflow的身份验证绕过漏洞。当用户登出时,其JWT令牌并未失效,可能被拦截后重用。Airflow 3.2及更高版本修复了此问题。建议用户升级到Airflow 3.2.0或更高版本以解决此问题。
在 Apache Airflow 的 3.2.0 之前的版本中发现了一个安全漏洞(CVE-2025-57735)。此漏洞存在于用于用户身份验证的 JWT(JSON Web Token)的处理方式中。具体来说,当用户注销时,相关的 JWT 令牌未正确失效。这意味着如果攻击者拦截了该令牌,他们即使在原始会话结束之后,也可以使用该令牌代表用户访问系统。此漏洞的严重程度在 CVSS 规模上评为 9.1,表明存在高风险。这会危及数据的安全性和 Airflow 系统的完整性。
利用此漏洞需要攻击者在令牌失效之前拦截有效的 JWT 令牌。这可能通过网络上的中间人攻击或访问可能存储令牌的日志或存储来发生。拦截后,攻击者可以使用该令牌作为其所属用户进行身份验证,从而访问 Airflow 系统的资源和功能。利用的可能性取决于令牌的暴露程度以及网络上实施的安全措施。
Organizations heavily reliant on Apache Airflow for data orchestration and workflow automation are particularly at risk. Environments with weak network security or where users frequently access Airflow from untrusted networks are also more vulnerable. Shared hosting environments where multiple users share an Airflow instance should be prioritized for patching.
• python / airflow: Check Airflow version using airflow version. If ≤3.2.0rc2, the system is vulnerable.
• python / airflow: Monitor Airflow logs for unusual activity or unauthorized DAG runs.
• generic web: If Airflow is exposed externally, monitor network traffic for suspicious JWT token activity using network intrusion detection systems (NIDS).
disclosure
漏洞利用状态
EPSS
0.01% (2% 百分位)
CVSS 向量
减轻此漏洞的建议解决方案是升级 Apache Airflow 到 3.2.0 或更高版本。版本 3.2.0 引入了在注销时使 JWT 令牌失效的机制,从而消除了拦截令牌被重复使用的风险。对于那些担心用户会话安全以及令牌拦截可能性的用户,强烈建议尽快执行此升级。在升级之前,请检查您依赖项的兼容性。有关详细说明,请参阅 Apache Airflow 的官方文档,以确保升级过程正确执行。
Actualice a la versión 3.2.0 o superior de Apache Airflow para invalidar correctamente los tokens JWT al cerrar sesión, previniendo así el posible uso no autorizado de tokens interceptados.
漏洞分析和关键警报直接发送到您的邮箱。
JWT(JSON Web Token)是一种将信息作为 JSON 对象安全传输的开放标准。它通常用于 Web 应用程序和 API 的身份验证和授权。
在注销时使令牌失效可确保用户退出会话后,拦截的令牌无法用于访问系统。
如果您已经升级到 3.2.0 或更高版本,则漏洞应该已经得到缓解。但是,重要的是检查系统的配置,以确保令牌失效功能正常运行。
是的,您可以实施额外的措施,例如使用 HTTPS 保护令牌传输、轮换签名密钥以及限制令牌的生命周期。
您可以在国家漏洞数据库 (NVD) 网站上的 CVE-2025-57735 页面以及 Apache Airflow 文档中找到有关此漏洞的更多信息。
上传你的 requirements.txt 文件,立即知道是否受影响。