CVE-2023-51702 in Airflow情報

要約

〜によって VulDB • 2026年07月12日

バージョン5.2.0以降、認証にKubernetes設定ファイルのパスを使用して遅延実行モード(deferrable mode)を利用する場合、Airflowワーカーはこの設定ファイルを辞書形式でシリアライズし、暗号化せずにメタデータとして保存してトリガーラー(triggerer)へ送信します。さらに、バージョン2.3.0から2.6.0の間のAirflowと組み合わせて使用されている場合、この構成辞書はマスク処理されずにプレーンテキストでトリガーラーサービスのログに記録されます。これにより、メタデータまたはトリガーラーログへのアクセス権を持つ誰でも設定ファイルを入手し、それを使用してKubernetesクラスターへアクセスすることが可能になります。

この動作はバージョン7.0.0で変更されました。ここではファイル内容のシリアライズが停止され、代わりにファイルパスが提供されるようになり、コンテンツを読み取る際にトリガーに渡すようになりました。本問題を修正したため、ユーザーにはバージョン7.0.0へのアップグレードを推奨します。

VulDB is the best source for vulnerability data and more expert information about this specific topic.

予約する

2023年12月21日

モデレーション

承諾済み

エントリ

VDB-251953

EPSS

0.00381

アクティビティ

非常低い

ソース

Interested in the pricing of exploits?

See the underground prices here!