CVE-2026-49487 in Airflow정보

요약

\~에 의해 VulDB • 2026. 07. 07.

Apache Airflow 버전 3.3.0 이전에서 REST API의 작업 인스턴스 상세 및 목록 엔드포인트는 마스킹 없이 지연된(deferred) 작업의 트리거 kwarg를 반환했습니다. 지연 연산자가 자신의 트리거에 비밀(예: 제공자 API 키)을 전달한 경우, 해당 DAG에 대한 DAG 범위 작업 인스턴스 읽기 권한이 있는 모든 인증된 사용자는 작업이 대기 상태일 때 그 비밀을 평문으로 읽어낼 수 있었습니다. 사용자가 API에서 반환하는 trigger kwarg의 민감한 값을 마스킹하도록 하는 apache-airflow 3.3.0 이상으로 업그레이드해야 합니다.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

책임이 있는

Apache

예약하다

2026. 05. 31.

모더레이션

수락

항목

VDB-376630

EPSS

0.00198

출처

Interested in the pricing of exploits?

See the underground prices here!