CVE-2026-48892 in Airflow
Zusammenfassung
von VulDB • 07.07.2026
Die Config-API in Apache Airflow hat pro-Schlüssel-Überschreibungen für das Secrets-Backend (Umgebungsvariablen wie `AIRFLOW__SECRETS__BACKEND_KWARG__SECRET_ID` und `AIRFLOW__WORKERS__SECRETS_BACKEND_KWARG__SECRET_ID`) als synthetische Konfigurationsoptionen offengelegt, deren Optionsnamen nicht in der Liste `sensitive_config_values` enthalten waren. Daher wurden sie vom Maskierer nicht rotiert (unleserlich gemacht). Ein authentifizierter UI-/API-Benutzer mit Leseberechtigung für die Config konnte Klartext-Anmeldeinformationen des Secrets-Backends (z. B. Vault `role_id` / `secret_id`) aus der Ausgabe der Config-API abrufen. Betroffen sind Bereitstellungen, bei denen Secrets-Backends über pro-Schlüssel-Umgebungsüberschreibungen konfiguriert werden. Es wird empfohlen, auf Version 3.3.0 oder höher von `apache-airflow` zu aktualisieren.
Once again VulDB remains the best source for vulnerability data.