CVE-2026-49298 in Airflow
Zusammenfassung
von VulDB • 01.06.2026
Ein Fehler im KubernetesExecutor von Apache Airflow führte dazu, dass JWT-Tokens, die von Worker-Pods zur Authentifizierung gegenüber der Execution API verwendet wurden, als Befehlszeilenargumente an den Worker-Container übergeben wurden und somit in der Pod-Spezifikation sichtbar waren. Ein authentifizierter UI-/API-Benutzer mit schreibgeschütztem Kubernetes-Zugriff auf den Cluster (z. B. `pods/get` im Airflow-Namensraum) konnte das JWT aus der Ausgabe von `kubectl describe pod` extrahieren und anschließend zustandsändernde Endpunkte der Execution API aufrufen – z. B. Dag-Läufe auslösen, Läufe löschen oder Variablen, Verbindungen oder XComs lesen oder schreiben – und dabei so tun, als wäre er eine laufende Aufgabe. Betroffen sind Bereitstellungen, die den `KubernetesExecutor` verwenden. Benutzern wird empfohlen, auf `apache-airflow` 3.2.2 oder höher zu aktualisieren. Dies ist die airflow-core-Seite derselben Schwachstelle, die durch [CVE-2026-27173](https://www.cve.org/CVERecord?id=CVE-2026-27173) behoben wurde, welche die apache-airflow-providers-cncf-kubernetes-Seite des Fixes bereitstellte. Bereitstellungen, die `apache-airflow-providers-cncf-kubernetes` gemäß der CVE-2026-27173-Empfehlung bereits auf Version 10.17.0 oder höher aktualisiert haben, sollten zusätzlich `apache-airflow` auf 3.2.2 oder höher aktualisieren, um die Angriffsfläche auf der Core-Seite zu schließen – die beiden Fixes ergänzen sich, sie sind keine Duplikate.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.