Airflow Cncf Kubernetes
Уязвимости
3
Эксплуатируемые
0
Макс. CVSS
8.7
Макс. EPSS
0.01531
Распределение по критичности
Критический
0
Высокий
2
Средний
1
Низкий
0
Затронутые диапазоны версий
5.0.0–7.0.05.2.0–7.0.0< 10.17.0
Также сопоставлено как (исходные строки): airflow_cncf_kubernetes,airflow
Топ уязвимостей
CVE-2026-27173Токены JWT, которые использовались работниками Kubernetes Executors, были подвержены воздействию пользователей, которые читали только доступ к Kuberentes Pods. Это может позволить пользователям с доступом только для чтения выполнять действия, которые были доступны только для выполнения задач через Task SDK и потенциально позволить изменять состояние базы данных Airflow для задач.
CVE-2023-33234Произвольное выполнение кода в Apache Airflow CNCF Kubernetes provider версии 5.0.0 позволяет пользователю изменять образ и ресурсы xcom sidecar через соединение Airflow.
Чтобы использовать эту уязвимость, пользователю уже потребуются повышенные права (Op или Admin), чтобы изменить объект соединения таким образом. Операторам следует обновиться до версии провайдера 7.0.0, в которой уязвимость была устранена.
CVE-2023-51702Начиная с версии 5.2.0, при использовании режима отложенного выполнения с путем конфигурационного файла Kubernetes для аутентификации рабочий элемент Airflow сериализует этот конфигурационный файл в виде словаря и отправляет его триггеру, храня его в метаданных без какой-либо шифровки. Кроме того, если использовать с версией Airflow между 2.3.0 и 2.6.0, конфигурационный словарь будет записываться в логах триггера в открытом виде без маскировки. Это позволяет любому, у кого есть доступ к метаданным или логам триггера, получить доступ к конфигурационному файлу и использовать его для доступа к кластеру Kubernetes.
Это поведение было изменено в версии 7.0.0, которая прекратила сериализацию содержимого файла и вместо этого начала предоставлять путь к файлу, чтобы читать содержимое в триггер. Пользователям рекомендуется обновиться до версии 7.0.0, которая исправляет эту проблему.