Токены JWT, используемые задачами, отображались в журналах. Это может позволить пользователям пользовательского интерфейса выступать в качестве авторов Dag. Пользователям рекомендуется перейти на версию Airflow, содержащую исправления.
Пользователям рекомендуется выполнить обновление до версии 3.2.0, которая устраняет эту проблему.
Показать оригинальное описание (EN)
JWT Tokens used by tasks were exposed in logs. This could allow UI users to act as Dag Authors. Users are advised to upgrade to Airflow version that contains fix. Users are recommended to upgrade to version 3.2.0, which fixes this issue.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1
Тип уязвимости (CWE)
Ссылки 5
https://github.com/apache/airflow/issues/62428
security@apache.org
https://github.com/apache/airflow/issues/62773
security@apache.org
https://github.com/apache/airflow/pull/62964
security@apache.org
https://lists.apache.org/thread/pvsrtxzwo9xy6xgknmwslv4zrw70kt6g
security@apache.org
http://www.openwall.com/lists/oss-security/2026/04/16/7
af854a3a-2127-422b-91ae-364da2661108