Apache Airflow устранил уязвимости, приводящие к утечке учетных данных

В популярном фреймворке для оркестрации рабочих процессов Apache Airflow были обнаружены и исправлены две отдельные уязвимости, которые могли привести к раскрытию конфиденциальных учетных данных. Проблемы затрагивали версии программного обеспечения до 3.1.6 включительно и были устранены в последнем патче. Уязвимости, получившие идентификаторы CVE-2025-68675 и CVE-2025-68438, оцениваются как низкоуровневые, однако они напрямую угрожают безопасности аутентификационных данных в корпоративных средах.

Детали уязвимостей

Первая уязвимость (CVE-2025-68675) связана с некорректной обработкой URL-адресов прокси в объектах типа Connection. В конфигурациях прокси-серверов часто используются строки со встроенными учетными данными. Ранее эти поля не были помечены как чувствительные. Следовательно, логи и веб-интерфейс системы выводили их в открытом виде. В результате, при просмотре деталей подключений, аудит логов или устранении неполадок в конвейерах данных, учетные данные для прокси могли стать доступны любому пользователю с соответствующими правами доступа. Эта ситуация особенно опасна в общих средах, где к экземплярам Airflow имеют доступ несколько команд. Злоумышленник или недовольный сотрудник мог извлечь эти данные и использовать их для перехвата сетевого трафика или перемещения по инфраструктуре через прокси.

Вторая проблема (CVE-2025-68438) затрагивала версии Airflow с 3.1.0 по 3.1.6. Она заключалась в неправильном сокрытии секретов в пользовательском интерфейсе Rendered Templates. Процесс сериализации использовал механизм маскирования секретов, который не учитывал шаблоны, зарегистрированные пользователями с помощью функции "mask_secret()". Вследствие этого конфиденциальные значения, такие как ключи API, токены и пароли баз данных, отображались в интерфейсе без маскировки до момента их усечения. Поскольку усечение происходило после сериализации, а не до нее, слой маскировки не срабатывал, полностью раскрывая секреты, если они не попадали в усеченную часть.

Важно отметить, что для эксплуатации обеих уязвимостей злоумышленнику требуется либо прямой доступ к файлам логов, либо аутентификация в веб-интерфейсе Airflow. Именно это обстоятельство определяет низкий уровень их опасности. Тем не менее, в современных облачных средах логи часто агрегируются и становятся доступны широкому кругу команд. Кроме того, доступ к веб-интерфейсу может быть выдан многим пользователям. Таким образом, потенциальный риск компрометации остается значительным.

Компания Apache выпустила исправления для обеих проблем в версии 3.1.6. Эксперты настоятельно рекомендуют организациям немедленно обновить свои развертывания Airflow, поскольку эти недостатки напрямую ставят под угрозу аутентификационные секреты. Помимо этого, администраторам следует пересмотреть политики хранения логов и внедрить правила редактирования секретов в централизованных системах логирования для предотвращения случайного раскрытия учетных данных. В качестве временных мер защиты можно ограничить доступ к журналам Airflow и его веб-интерфейсу, внедрить белые списки IP-адресов, а также обновить все учетные данные, которые могли быть скомпрометированы. Командам безопасности также стоит провести аудит недавних логов на предмет подозрительных попыток аутентификации или несанкционированного доступа через прокси.

Уязвимости были обнаружены исследователями lwlkr и William Ashe. Соответствующие исправления разработали Ankit Chaurasia и Amogh Desai. Организациям, которые полагаются на Apache Airflow для оркестрации конвейеров данных, следует рассматривать это обновление как критически важное для защиты инфраструктуры рабочих процессов и связанных с ними систем. Своевременная установка патчей остается наиболее эффективным способом минимизации рисков, связанных с подобными уязвимостями.

Детали уязвимостей

Ссылки