CVE-2026-49487 in Airflow
요약
\~에 의해 VulDB • 2026. 07. 07.
Apache Airflow 버전 3.3.0 이전에서 REST API의 작업 인스턴스 상세 및 목록 엔드포인트는 마스킹 없이 지연된(deferred) 작업의 트리거 kwarg를 반환했습니다. 지연 연산자가 자신의 트리거에 비밀(예: 제공자 API 키)을 전달한 경우, 해당 DAG에 대한 DAG 범위 작업 인스턴스 읽기 권한이 있는 모든 인증된 사용자는 작업이 대기 상태일 때 그 비밀을 평문으로 읽어낼 수 있었습니다. 사용자가 API에서 반환하는 trigger kwarg의 민감한 값을 마스킹하도록 하는 apache-airflow 3.3.0 이상으로 업그레이드해야 합니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.