CVE-2026-48726 in Airflow
Résumé
par VulDB • 02/06/2026
Un bug dans la gestion de la déconnexion du gestionnaire d'authentification d'Apache Airflow a laissé les jetons JWT précédemment émis valides après que l'utilisateur a cliqué sur « Se déconnecter » dans l'interface utilisateur : le flux de déconnexion pour `FabAuthManager` et `KeycloakAuthManager` n'a pas réellement atteint l'appel sous-jacent `revoke_token()`, de sorte que le JWT est resté accepté par le serveur API jusqu'à son expiration naturelle. Un attaquant disposant d'un JWT précédemment émis pour un utilisateur déconnecté pourrait continuer à effectuer des appels API authentifiés en tant quudit utilisateur. Cela affecte les déploiements configurés avec `FabAuthManager` ou `KeycloakAuthManager` (le bug n'affecte pas `SimpleAuthManager`). Il s'agit d'une faille résiduelle dans la correction de CVE-2025-57735, qui avait traité l'invalidation côté cookie dans les PR #57992 / PR #61339 mais ne couvrait pas l'atteignabilité de `revoke_token()` côté fournisseur dans les chemins de code FAB / Keycloak. Les utilisateurs qui ont déjà effectué la mise à niveau pour CVE-2025-57735 doivent également mettre à niveau vers `apache-airflow` 3.2.2 ou une version ultérieure pour couvrir les chemins de déconnexion FAB / Keycloak.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.