概要
人気のあるワークフロー管理プラットフォームであるApache Airflowにおいて、機密性の高いワークフローデータが攻撃者に露出する可能性のある二つの脆弱性が発見され、修正されました。これらの脆弱性はバージョン3.1.6未満のAirflowに影響を及ぼし、悪用されると、プロキシ設定やテンプレート化されたワークフローフィールドに埋め込まれた認証情報がログファイルやWeb UIを通じて攻撃者に抽出される恐れがあります。これにより、ネットワークインフラストラクチャや機密データパイプラインのセキュリティが侵害される可能性があります。
脆弱性の詳細
-
CVE-2025-68675: プロキシ認証情報のクリアテキストロギング
この脆弱性は、Apache Airflowのバージョン3.1.6未満に存在します。接続オブジェクト内のプロキシURLの不適切な処理に起因し、プロキシ設定に埋め込まれた認証情報(例:
http://username:password@proxy.example.com:8080)が、機密データとして適切に扱われず、ログにクリアテキストで記録されていました。結果として、接続情報がレンダリングまたは表示される際に、ログへのアクセス権を持つユーザーであれば誰でもプロキシ認証情報を閲覧できる状態にありました。これは共有環境において特に危険であり、攻撃者や悪意のある内部関係者がこれらの認証情報を悪用してネットワークトラフィックを傍受したり、プロキシインフラストラクチャを介してシステムに侵入する足がかりにする可能性があります。 -
CVE-2025-68438: レンダーされたテンプレートUIでの機密情報マスクの不備
この脆弱性は、Apache Airflow 3.1.0から3.1.6のバージョンに影響します。レンダーされたテンプレートUIにおける機密情報のマスキング処理に不備がありました。シリアル化プロセスで使用されるシークレットマスクインスタンスが、ユーザーが登録した
mask_secret()パターンを認識しなかったため、本来マスクされるべき機密情報が、切り捨てられる前にマスクされずに表示されてしまうことが判明しました。この欠陥により、Web UIへのアクセス権を持つ攻撃者は、APIキー、データベース認証情報、トークンなどの機密データをレンダーされたテンプレート上で完全に閲覧することが可能でした。
脆弱性情報サマリー
各脆弱性の詳細を以下にまとめます。
| 項目 | CVE-2025-68675 | CVE-2025-68438 |
|---|---|---|
| 影響バージョン | Apache Airflow < 3.1.6 | Apache Airflow 3.1.0–3.1.6 |
| 深刻度 | 低 | 低 |
| 露出データ | プロキシ認証情報 | APIキー、トークン、シークレット |
| コンポーネント | 接続プロキシフィールド | レンダーされたテンプレートUI |
| 修正バージョン | 3.1.6 | 3.1.6 |
潜在的な影響と推奨される対策
これらの脆弱性はいずれも、悪用にはログファイルへの直接アクセスまたはAirflow Webインターフェースへの認証が必要であるため、深刻度は「低」と評価されています。しかし、クラウド環境ではログが集約され、複数のチームからアクセス可能な場合が多く、Webインターフェースへのアクセスも広範に許可されている可能性があるため、機密データが意図せず露出するリスクは依然として高いとされています。
Apacheはバージョン3.1.6で両方の問題を修正しました。組織は、ワークフローインフラストラクチャとダウンストリームシステムを保護するために、直ちにバージョン3.1.6へのアップグレードを最優先で行うべきです。
一時的な緩和策と追加の推奨事項:
- AirflowログおよびWeb UIへのアクセスを制限する。
- IPアドレスのホワイトリスト化を実装する。
- 既に露出している可能性のある認証情報をすべてローテーション(変更)する。
- 管理者側は、ログ保持ポリシーを見直し、一元化されたロギングシステムで機密情報の難読化ルールを実装して、意図しない認証情報の露出を防ぐ。
- セキュリティチームは、疑わしい認証試行や不正なプロキシアクセスがないか、最近のログを監査する。
これらの脆弱性は、lwlkr氏とWilliam Ashe氏によって発見され、Ankit Chaurasia氏とAmogh Desai氏によってそれぞれ修正が開発されました。
元記事: https://gbhackers.com/apache-airflow-flaws-expose-sensitive-workflow-data/