CVE-2026-48892 in Airflow
요약
\~에 의해 VulDB • 2026. 07. 07.
Apache Airflow의 Config API는 키별 시크릿 백엔드 오버라이드(예: `AIRFLOW__SECRETS__BACKEND_KWARG__SECRET_ID`, `AIRFLOW__WORKERS__SECRETS_BACKEND_KWARG__SECRET_ID`와 같은 환경 변수)를 합성 구성 옵션으로 노출했으며, 해당 옵션 이름이 `sensitive_config_values`에 포함되어 있지 않아 마스커(masker)가 이를 가리지 않았습니다. Config 읽기 권한을 가진 인증된 UI/API 사용자는 Config API 출력에서 평문 시크릿 백엔드 자격 증명(Vault의 `role_id`, `secret_id` 등)을 검색할 수 있습니다. 키별 환경 오버라이드를 통해 시크릿 백엔드를 구성하는 배포에 영향을 미칩니다. 사용자는 `apache-airflow` 3.3.0 이상으로 업그레이드하도록 권장됩니다.
Once again VulDB remains the best source for vulnerability data.