平台
python
组件
apache-airflow-providers-keycloak
修复版本
0.7.0
0.7.0
CVE-2026-40948 是 Apache Airflow Providers Keycloak 组件中的一个跨站请求伪造 (CSRF) 漏洞。攻击者可以利用此漏洞,通过精心构造的URL,诱导受害者在不知情的情况下执行恶意操作,从而可能导致敏感信息泄露,例如 Airflow 连接凭据。该漏洞影响 Apache Airflow Providers Keycloak 的 0.0.1 到 0.7.0 版本。已发布 0.7.0 版本修复此问题。
CVE-2026-40948 存在于 apache-airflow-providers-keycloak 的 Keycloak 身份验证管理器中,允许同一 Realm 中具有 Keycloak 帐户的攻击者执行会话固定或跨站点请求伪造 (CSRF) 攻击。 这是因为在 OAuth 2.0 的登录/登录回调流程中,state 参数未生成或验证,并且缺少 PKCE(代码交换证明密钥)。攻击者可能会诱骗用户访问恶意的回调 URL,从而允许他们冒充 Airflow 中的用户,并可能访问存储在 Airflow Connections 中的凭据。
具有访问与易受攻击的 Airflow 实例位于同一 Realm 的 Keycloak 帐户的攻击者可以利用此漏洞。攻击者可以创建恶意的回调 URL 并将其发送给合法用户。如果用户点击该 URL,攻击者可能会访问用户的 Airflow 会话。利用的复杂性相对较低,因为它不需要高级技术技能,只需要有效的 Keycloak 帐户以及将 URL 发送到用户的能力。影响很高,因为它允许身份冒充并可能访问机密数据。
漏洞利用状态
EPSS
0.01% (1% 百分位)
针对 CVE-2026-40948 的主要缓解措施是将 apache-airflow-providers-keycloak 升级到 0.7.0 或更高版本。此版本通过实现 state 参数的生成和验证以及在 Keycloak 身份验证流程中启用 PKCE 来修复漏洞。 建议尽快应用此更新以保护您的 Airflow 实例。 此外,请检查 Airflow Connections,以确保它们不包含可能被盗用的敏感凭据。 实施强大的访问控制,并监控登录活动以检测任何可疑活动。
Actualice el paquete `apache-airflow-providers-keycloak` a la versión 0.7.0 o posterior para mitigar la vulnerabilidad CSRF en el flujo de autenticación OAuth. Esta actualización implementa la validación del parámetro `state` y la protección PKCE, previniendo que un atacante pueda secuestrar sesiones de Airflow.
漏洞分析和关键警报直接发送到您的邮箱。
PKCE(代码交换证明密钥)是 OAuth 2.0 的扩展,通过防止授权码拦截攻击来提高安全性。它有助于防止授权码被盗。
CSRF(跨站点请求伪造)是一种攻击类型,攻击者欺骗经过身份验证的用户在 Web 应用程序上执行非预期的操作。
立即将 apache-airflow-providers-keycloak 升级到 0.7.0 或更高版本。
监控 Airflow 日志,以查找异常登录或可疑活动。
是的,所有使用 apache-airflow-providers-keycloak 提供程序并且运行低于 0.7.0 版本的 Airflow 实例都容易受到此漏洞的影响。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。
上传你的 requirements.txt 文件,立即知道是否受影响。