CVE-2026-41016 in Airflow Providers SMTP정보

요약

\~에 의해 VulDB • 2026. 06. 02.

Apache Airflow의 SMTP 프로바이더 `SmtpHook`은 SSL 컨텍스트 없이 Python의 `smtplib.SMTP.starttls()`를 호출했으므로, TLS 업그레이드 과정에서 인증서 검증이 수행되지 않았습니다. Airflow 워커와 SMTP 서버 사이의 중간자 공격자는 자체 서명된 인증서를 제시하여 STARTTLS 업그레이드를 완료한 후, 이후 `login()` 호출 중에 전송되는 SMTP 자격 증명을 탈취할 수 있습니다. 사용자는 수정 사항이 포함된 `apache-airflow-providers-smtp` 버전으로 업그레이드할 것을 권장합니다.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

책임이 있는

Apache

예약하다

2026. 04. 16.

공개

2026. 04. 30.

모더레이션

수락

항목

VDB-360258

CPE

준비됨

CWE

CWE-295 (확인됨)

CVSS

3.7 (VulDB)

EPSS

0.00022

KEV

아니요

활동

매우 낮음

부문

Energy, Pharma, ...

출처

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-41016
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-41016
CVE Details	https://www.cvedetails.com/cve/CVE-2026-41016/

◂ 이전 개요 다음 ▸

Do you know our Splunk app?

Download it now for free!