W Apache Airflow token JWT użytkownika nie był unieważniany po wylogowaniu, co umożliwiało jego ponowne wykorzystanie w przypadku przechwycenia. Podatność jest krytyczna, ponieważ nie wymaga żadnych uprawnień ani interakcji użytkownika do eksploatacji.
▸ Pokaż oryginał (EN)
When user logged out, the JWT token the user had authtenticated with was not invalidated, which could lead to reuse of that token in case it was intercepted. In Airflow 3.2 we implemented the mechanism that implements token invalidation at logout. Users who are concerned about the logout scenario and possibility of intercepting the tokens, should upgrade to Airflow 3.2+ Users are recommended to upgrade to version 3.2.0, which fixes this issue.
Po wylogowaniu się użytkownika z systemu serwer nie unieważniał wydanego wcześniej tokenu JWT (CWE-613: niewystarczające wygasanie sesji). Token pozostawał ważny przez cały swój pierwotny czas życia. Atakujący, który przechwycił token (np. przez podsłuch sieciowy, wyciek logów lub inną metodę), mógł go użyć do uwierzytelnienia się w imieniu wylogowanego użytkownika. Mechanizm unieważniania tokenów przy wylogowaniu został wprowadzony dopiero w wersji Apache Airflow 3.2.
Atakujący posiadający przechwycony token JWT może uzyskać nieautoryzowany dostęp do systemu z uprawnieniami pierwotnego użytkownika, co zagraża poufności i integralności danych oraz konfiguracji przepływów pracy (DAG-ów) zarządzanych przez Airflow.
Należy zaktualizować Apache Airflow do wersji 3.2.0 lub nowszej, która wprowadza mechanizm unieważniania tokenów JWT przy wylogowaniu. Do czasu aktualizacji zaleca się minimalizowanie ekspozycji interfejsu Airflow na niezaufane sieci oraz stosowanie krótkich czasów życia tokenów JWT, jeśli jest to możliwe do skonfigurowania.
Apache Airflow w wersjach wcześniejszych niż 3.2.0
Poprawka została dostarczona w ramach Apache Airflow 3.2.0. Szczegóły techniczne opublikowano na liście dyskusyjnej Apache oraz oss-security w dniu 2026-04-09.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:NApache Airflow
APPApache3.0.0 – 3.2.0 (bez)
Powiązane podatności
The previous default setting for Airflow's Experimental API was to allow all API requests without authenticati...
Apache Airflow: command injection przez niebezpieczny wzorzec w dokumentacji BashOperator
Apache Airflow Providers FAB — nieprawidłowe wygasanie sesji (CWE-613)
Privilege Context Switching Error vulnerability in Apache Software Foundation Apache Airflow.This issue affect...
Improper Neutralization of Special Elements used in a Command ('Command Injection') vulnerability in Apache So...