Angreifer können Apache Airflow und Airflow Keycloak attackieren und Systeme im schlimmsten Fall vollständig kompromittieren.
14:29 Uhr
|
|
22.04.2026 14:29 Uhr |
Angreifer können Apache Airflow und Airflow Keycloak attackieren und Systeme im schlimmsten Fall vollständig kompromittieren.
Insgesamt haben die Entwickler sechs Sicherheitslücken geschlossen. Das geht aus mehreren Warnmeldungen aus der Airflow-Mailingliste hervor. Eine Schwachstelle (CVE-2026-25917) gilt als „kritisch“. Darüber können Angreifer im Kontext des Webservers über eine Xcom-Payload Schadcode ausführen.
Es gibt noch eine weitere Schadcodelücke (CVE-2026-30898 „hoch“). Außerdem können Informationen leaken (CVE-2026-30912 „hoch“). Die Entwickler versichern, die Sicherheitsprobleme in Airflow 3.2.0 gelöst zu haben. Alle vorigen Versionen seien angreifbar.
Einer Warnmeldung zufolge ist Airflow Keycloak nur von einer Schwachstelle (CVE-2026-40948 „mittel“) betroffen. Hier schafft die Ausgabe 0.7.0 Abhilfe.
(des)