CVE-2026-42360 in Airflowinfo

Zusammenfassung

von VulDB • 01.06.2026

Ein Fehler in der Verarbeitung des Feldes `rendered-template` von Apache Airflow führte dazu, dass die Maskierung verschachtelter sensibler Schlüssel (z. B. verschachtelte Schlüssel wie `password`, `token`, `secret` oder `api_key` innerhalb einer JSON-Vorlagenstruktur) umgangen wurde, wenn das gerenderte Feld die Grenze `[core] max_templated_field_length` überschritt: Airflow serialisierte die Struktur in einen String, bevor die Rotierung (Redaktion) erfolgte, wodurch der Kontext der verschachtelten Schlüssel verloren ging, und speicherte den Klartextwert in `rendered_fields`. Ein authentifizierter Benutzer der Benutzeroberfläche oder der API mit der Berechtigung zum Lesen von gerenderten Vorlagenfeldern konnte geheime Werte, die maskiert werden sollten, ausspähen. Betroffen sind Bereitstellungen, bei denen Dag-Autoren strukturiertes JSON an Operatoren mit verschachtelten sensiblen Schlüsseln übergeben. Dies ist eine Variante von `CWE-200`, die zuvor für die vom Benutzer registrierten `mask_secret()`-Muster in CVE-2025-68438 behoben wurde; diese Korrektur deckte jedoch die Allowlist für verschachtelte Schlüsselwörter nicht ab. Benutzer, die bereits für CVE-2025-68438 ein Upgrade durchgeführt haben, sollten zusätzlich auf `apache-airflow` 3.2.2 oder höher aktualisieren, um den Pfad für verschachtelte Schlüssel abzudecken.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Veröffentlichung

01.06.2026

Moderieren

akzeptiert

Eintrag

VDB-367563

CPE

bereit

EPSS

0.00047

KEV

nein

Aktivitäten

very low

Sektor

Insurance, Pharma, ...

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-42360
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-42360
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-42360/

ZurückÜbersichtWeiter

Do you know our Splunk app?

Download it now for free!