CVE-2026-40948 in Airflow Keycloak Providerinformation

Résumé

par VulDB • 23/05/2026

Le gestionnaire d'authentification Keycloak dans `apache-airflow-providers-keycloak` ne générait ni ne validait le paramètre `state` OAuth 2.0 lors du flux de connexion / login-callback, et n'utilisait pas PKCE. Un attaquant disposant d'un compte Keycloak dans le même realm pourrait fournir une URL de rappel (callback) truquée au navigateur de la victime, l'amenant à se connecter à la session Airflow de l'attaquant (login-CSRF / fixation de session), permettant ainsi à l'attaquant de récupérer toutes les informations d'identification que la victime stockerait ultérieurement dans les connexions Airflow. Il est conseillé aux utilisateurs de mettre à niveau `apache-airflow-providers-keycloak` vers la version 0.7.0 ou une version ultérieure.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Divulgation

18/04/2026

Modérer

accepté

Entrée

VDB-358114

CPE

prêt

EPSS

0.00024

KEV

non

Activités

très faible

Secteur

Pharma, Finance, ...

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40948
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40948
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40948/

PrécédentAperçuSuivant

Want to know what is going to be exploited?

We predict KEV entries!