MEDIUMCVE-2026-34538CVSS 6.5

Apache Airflow: DagRun 等待端点中的授权绕过 (XCom 暴露)

平台

python

组件

apache-airflow

修复版本

3.2.0

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-34538 是 Apache Airflow 中一个权限泄露漏洞。该漏洞允许具有DAG Run只读权限的用户（例如Viewer角色）访问XCom结果值，这与FAB RBAC模型和安全模型文档中定义的Viewer角色只读权限相冲突。该漏洞影响 Apache Airflow 3.0.0 到 3.1.8 版本，已在 3.2.0 版本中修复。

影响与攻击场景

Apache Airflow 中的 CVE-2026-34538 漏洞影响 3.0.0 到 3.1.8 版本的系统。它允许具有 DagRun 只读权限的用户（例如 'Viewer' 角色）访问 XCom 结果值。这与将 XCom 视为单独受保护资源的 FAB RBAC 模型以及将 'Viewer' 角色定义为只读权限的安全模型文档相矛盾。 XCom 中存储的敏感数据未经授权的暴露可能会危及工作流程处理的信息的机密性。 CVSS 严重程度评分为 6.5，表明存在中等风险。

利用背景

具有 DagRun 只读访问权限的攻击者可能会利用此漏洞来获取存储在 XCom 中的敏感信息。这可能包括密码、API 密钥、数据库信息或其他工作流程使用的敏感数据。漏洞利用的难度很高，因为它只需要只读权限，而这些权限通常授予大量用户。如果暴露的数据被用于破坏其他系统或窃取机密信息，则影响可能会很大。

哪些人处于风险中翻译中…

Organizations utilizing Apache Airflow with deployments that grant the Viewer role access to DAG Runs are particularly at risk. This includes environments leveraging shared hosting services where multiple users may have access to the same Airflow instance. Legacy Airflow configurations that haven't been regularly reviewed for security best practices are also vulnerable.

检测步骤翻译中…

• python / airflow:

import airflow
# Check Airflow version
print(airflow.__version__)
# If version is <= 3.1.8, the vulnerability is present.

• linux / server:

# Check for Airflow processes
ps aux | grep airflow
# Review Airflow logs for unauthorized access attempts to the DagRun wait endpoint.
journalctl -u airflow -f | grep "DagRun wait endpoint"

• generic web:

curl -I http://<airflow_host>/api/v1/dags/<dag_id>/dagRuns/<dag_run_id>/xcom
# Check the response headers for any unusual access patterns or unauthorized requests.

攻击时间线

2026-04-09Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告2 份威胁报告

EPSS

0.04% (12% 百分位)

CVSS 向量

受影响的软件

组件apache-airflow

供应商osv

影响范围修复版本

3.0.0 – 3.2.03.2.0

3.0.03.2.0

弱点分类 (CWE)

CWE-668

时间线

已保留2026-03-30
发布日期2026-04-09
修改日期2026-04-15
EPSS 更新日期2026-04-16

披露后-1天发布补丁

缓解措施和替代方案

此漏洞的解决方案是将 Apache Airflow 升级到 3.2.0 或更高版本。此版本通过限制具有适当权限的用户对 XCom 值的访问来修复此问题。建议尽快应用此更新以降低数据暴露风险。此外，请审查您的用户权限配置，以确保只有授权用户才能访问 Airflow 资源。监控 Airflow 日志，以查找与 XCom 访问相关的任何可疑活动。

修复方法翻译中…

Actualice Apache Airflow a la versión 3.2.0 o posterior para solucionar la vulnerabilidad. Esta actualización corrige el problema de exposición de XCom al permitir que los usuarios con permisos de solo lectura de DagRun accedan a los resultados de XCom, lo que contraviene el modelo de control de acceso basado en roles (RBAC) de FAB.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-34538 是什么 — apache-airflow 中的漏洞？

XCom 是 Airflow 中在 DAG 中的任务之间传递数据的机制。它用于共享任务结果或配置。

apache-airflow 中的 CVE-2026-34538 是否会影响我？

FAB RBAC 是 Apache Airflow 的基于角色的访问控制模型。它定义了角色和权限以控制对 Airflow 资源的访问。

如何修复 apache-airflow 中的 CVE-2026-34538？

版本 3.2.0 修复了 CVE-2026-34538 漏洞，该漏洞允许对 XCom 值进行未经授权的访问。

CVE-2026-34538 是否正在被积极利用？

如果无法立即升级，请考虑限制对 DagRun 端点的访问，仅允许具有更高权限的用户访问。

在哪里可以找到 apache-airflow 关于 CVE-2026-34538 的官方安全通告？

如果您使用的是 3.0.0 到 3.1.8 之间的 Airflow 版本，则很可能受到此漏洞的影响。