Apache Airflow 已修复其 3.1.6 版本之前存在的两个独立的凭证泄露漏洞。
这些漏洞可能允许攻击者通过日志文件和 Web 界面,提取嵌入在代理配置和模板化工作流字段中的敏感认证数据,进而可能危及网络基础设施和敏感数据管道的安全。
第一个漏洞影响 Apache Airflow 3.1.6 之前的版本,根源在于 Connection 对象中对代理 URL 的处理不当。
| 维度 | CVE-2025-68675 | CVE-2025-68438 |
|---|---|---|
| 受影响版本 | Apache Airflow < 3.1.6 | Apache Airflow 3.1.0–3.1.6 |
| 严重程度 | 低 | 低 |
| 泄露数据 | 代理凭证 | API 密钥、令牌、机密信息 |
| 涉及组件 | 连接代理字段 | 渲染模板 UI |
| 修复版本 | 3.1.6 | 3.1.6 |
代理配置通常以
http://username:password@proxy.example.com:8080 的形式包含嵌入式认证凭证。这些字段未被标记为敏感信息,这意味着每当连接被渲染或显示时,代理凭证都会以明文形式记录在日志中。
在 Airflow 的日志架构中,当用户查看连接详情、排查数据管道问题或访问审计日志时,任何拥有日志访问权限的人都能看到这些代理凭证。
这在多团队共享 Airflow 实例的环境中尤其危险 —— 攻击者或心怀不满的内部人员可能提取这些凭证,用于拦截网络流量或通过代理基础设施横向移动。
第二个漏洞影响 Airflow 3.1.0 至 3.1.6 版本,涉及渲染模板 UI 中机密信息的屏蔽机制不当。
然而,序列化过程中使用的机密信息屏蔽实例未识别用户注册的
mask_secret() 模式,导致敏感值在被截断前未被屏蔽而直接暴露。该漏洞使拥有 Web 界面访问权限的攻击者,能够在渲染模板中查看 API 密钥、数据库凭证和令牌等敏感数据。
由于截断操作发生在序列化之后而非之前,屏蔽层失效,机密信息会完整暴露(除非恰好落在被截断的部分)。
这两个漏洞均要求攻击者要么直接访问日志文件,要么获得 Airflow Web 界面的认证权限,这也降低了它们的严重程度评级。
但在云环境中,日志通常会被集中汇总并允许跨团队访问,且 Web 界面的访问权限可能被广泛授予。
Apache 已在 3.1.6 版本中修复了这两个问题。企业应优先立即升级,因为这些漏洞会直接危及认证机密的安全。
此外,管理员应审查日志保留策略,并在集中式日志系统中实施机密信息编辑规则,以防止凭证意外泄露。
如需临时缓解风险,企业可限制 Airflow 日志和 Web 界面的访问权限、实施 IP 白名单,并轮换可能已泄露的所有凭证。
安全团队应审计近期日志,排查可疑的认证尝试或未授权的代理访问行为。
这两个漏洞由 lwlkr 和威廉・阿什发现,分别由安基特・乔拉西亚和阿莫格・德赛开发了修复方案。
依赖 Airflow 进行数据管道编排的用户,应将此次升级视为保护工作流基础设施和下游系统安全的关键任务。
发表评论
您还未登录,请先登录。
登录