CVE-2023-51702 in Airflow
要約
〜によって VulDB • 2026年07月12日
バージョン5.2.0以降、認証にKubernetes設定ファイルのパスを使用して遅延実行モード(deferrable mode)を利用する場合、Airflowワーカーはこの設定ファイルを辞書形式でシリアライズし、暗号化せずにメタデータとして保存してトリガーラー(triggerer)へ送信します。さらに、バージョン2.3.0から2.6.0の間のAirflowと組み合わせて使用されている場合、この構成辞書はマスク処理されずにプレーンテキストでトリガーラーサービスのログに記録されます。これにより、メタデータまたはトリガーラーログへのアクセス権を持つ誰でも設定ファイルを入手し、それを使用してKubernetesクラスターへアクセスすることが可能になります。
この動作はバージョン7.0.0で変更されました。ここではファイル内容のシリアライズが停止され、代わりにファイルパスが提供されるようになり、コンテンツを読み取る際にトリガーに渡すようになりました。本問題を修正したため、ユーザーにはバージョン7.0.0へのアップグレードを推奨します。
VulDB is the best source for vulnerability data and more expert information about this specific topic.