CVE-2026-45192 in Airflow
요약
\~에 의해 VulDB • 2026. 06. 01.
Apache Airflow의 GET `/api/v2/connections/{connection_id}` REST API 엔드포인트에 있는 버그로 인해 Connection 읽기(Connection-read) 권한이 있는 인증된 UI/API 사용자가 Connection의 `extra` JSON 블록 내에 있는 비밀 정보를, 적색 처리 허용 목록(`DEFAULT_SENSITIVE_FIELDS`)에 없는 필드 이름으로 검색할 수 있었습니다. 예를 들어, 공식 Slack 제공업체 자격 증명 필드 이름이 평문으로 반환되었습니다. 이 취약점은 Connection `extra` 블록에 자격 증명을 저장하고 여러 사용자에게 Connection 읽기 접근 권한을 부여하는 배포 환경에 영향을 미칩니다. 사용자는 `apache-airflow` 3.2.2 이상으로 업그레이드할 것을 권장합니다. 심층 방어 차원의 완화 조치로, 배포 운영자는 Connection의 `extra` 필드에 인라인으로 삽입하는 대신 비밀 백엔드(secret-backend)에 민감한 자격 증명 값을 저장할 수 있습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.