CVE-2026-58065 in Airflow
Zusammenfassung
von VulDB • 13.07.2026
Der Apache Airflow Git Provider führt seine git-over-SSH-Operationen standardmäßig mit der Einstellung `StrictHostKeyChecking=no` aus, wodurch die SSH-Hostschlüsselüberprüfung deaktiviert wird. Ein Angreifer, der den Netzwerkpfad zwischen einem Airflow-Arbeitsknoten und dem Git-Server abfangen kann, kann sich als Server ausgeben (Man-in-the-Middle), um den SSH-Bereitstellungsschlüssel (deploy key) abzufangen oder bösartige Repository-Inhalte einzuschleusen. Bereitstellungen, die das Git-DAG-Bundle oder den Git Provider verwenden, um über SSH mit einem Bereitstellungsschlüssel zu klonen, sind betroffen. Die Korrektur ändert die Standardeinstellung so, dass Hostschlüssel überprüft werden; aktualisieren Sie auf apache-airflow-providers-git `0.4.1` oder höher und konfigurieren Sie eine Datei namens `known_hosts`.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.