Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Apache Airflow (CVE-2024-45784)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
15/11/2024
Última modificación:
03/06/2025

Descripción

Las versiones de Apache Airflow anteriores a la 2.10.3 contienen una vulnerabilidad que podría exponer variables de configuración confidenciales en los registros de tareas. Esta vulnerabilidad permite a los autores de DAG registrar variables de configuración confidenciales de forma intencional o no intencionada. Los usuarios no autorizados podrían acceder a estos registros, lo que podría exponer datos críticos que podrían explotarse para comprometer la seguridad de la implementación de Airflow. En la versión 2.10.3, los secretos ahora están enmascarados en los registros de tareas para evitar que las variables de configuración confidenciales se expongan en la salida del registro. Los usuarios deben actualizar a Airflow 2.10.3 o la versión más reciente para eliminar esta vulnerabilidad. Si sospecha que los autores de DAG podrían haber registrado los valores secretos en los registros y que sus registros no están protegidos adicionalmente, también se recomienda que actualice esos secretos.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:apache:airflow:*:*:*:*:*:*:*:* 2.10.3 (excluyendo)