平台
python
组件
apache-airflow
修复版本
3.1.8
3.1.8
CVE-2026-25219 是 Apache Airflow 中发现的一个潜在漏洞,连接属性 accesskey 和 connectionstring 未标记为敏感名称。这可能导致具有读取权限的用户能够看到连接 UI 中的值,并且在连接意外记录到日志中时,这些值也可能被看到。Azure Service Bus 使用这些属性来存储敏感值,其他提供商也可能受到影响。
Apache Airflow 中的 CVE-2026-25219 漏洞影响了连接中敏感凭据的处理方式。具体来说,通常与 Azure Service Bus 一起使用来存储机密信息的连接的 accesskey 和 connectionstring 连接属性未在 secrets 遮罩器中标记为敏感名称。这意味着具有读取权限的用户可以在 Connections UI 中查看这些值。此外,如果连接意外记录到日志中,则这些敏感值可能会暴露在日志中。虽然 Azure Service Bus 是最突出的用例,但使用这些字段存储敏感数据的其他提供商也可能受到影响。此漏洞的严重性在于可能暴露的凭据,这些凭据可能允许对关键资源进行未经授权的访问。
具有 Connections UI 读取权限的攻击者可以直接查看 accesskey 和 connectionstring 的值。如果 Airflow 日志未正确配置,攻击者可能会在日志中找到这些值。如果这些凭据用于访问 Azure Service Bus 等关键服务,则风险尤其高,因为攻击者可以使用这些凭据来破坏这些服务。UI 和日志中缺乏 secrets 遮罩简化了此漏洞的利用。
漏洞利用状态
EPSS
0.02% (6% 百分位)
此漏洞的解决方案是将 Apache Airflow 升级到 3.1.8 或更高版本。此版本通过在 secrets 遮罩器中正确标记 accesskey 和 connectionstring 属性作为敏感名称来修复此问题。我们强烈建议尽快应用此升级以保护您的凭据。此外,请查看您的 Airflow 日志,以识别任何凭据意外暴露的实例,并采取措施减轻任何潜在的未经授权的访问。考虑实施更严格的连接访问策略,并将 Connections UI 的访问限制为授权用户。
Actualice Apache Airflow a la versión 3.1.8 o superior para evitar la exposición de credenciales sensibles en la interfaz de usuario y en los registros. Verifique las conexiones existentes, especialmente aquellas que utilizan Azure Service Bus, para asegurarse de que no almacenan información confidencial en los campos 'access_key' o 'connection_string'.
漏洞分析和关键警报直接发送到您的邮箱。
secrets 遮罩器是 Airflow 中的一项功能,它在 UI 和日志中隐藏诸如密码和访问密钥之类的敏感信息。
版本 3.1.8 通过正确标记敏感属性来修复漏洞,从而防止凭据暴露。
立即更改受影响的密码和访问密钥,并检查日志以查找任何可疑活动。
实施严格的访问控制,定期检查您的日志,并考虑使用 secrets 管理解决方案。
它主要影响使用 accesskey 和 connectionstring 属性的连接,尤其是那些与 Azure Service Bus 交互或在这些字段中存储敏感数据的其他服务的连接。
上传你的 requirements.txt 文件,立即知道是否受影响。