Apache Airflow อุดช่องโหว่รั่วไหล Credential ผ่าน UI และ Template Rendering
Apache Airflow ซึ่งเป็นแพลตฟอร์มยอดนิยมสำหรับการจัดการ workflow แบบโปรแกรม ถูกพบช่องโหว่ที่อาจทำให้ข้อมูลลับรั่วไหลสู่ผู้ใช้ที่มีสิทธิ์เข้าถึง UI โดยตรง ช่องโหว่แรก CVE-2025-65995 (ระดับ Moderate) เกิดขึ้นจากการที่ระบบแสดง DAG traceback ที่ละเอียดเกินไปเมื่อ workflow ล้มเหลว ทำให้ผู้ใช้สามารถเห็นค่า kwargs ที่ส่งไปยัง operator ซึ่งบางครั้งอาจมีข้อมูลลับ เช่น API keys หรือรหัสผ่าน
ช่องโหว่ที่สอง CVE-2025-66388 (ระดับ Low) เกิดจากการที่ระบบ template rendering ไม่ได้ทำการ redaction ข้อมูลลับอย่างถูกต้อง ส่งผลให้ผู้ใช้ที่ไม่ควรมีสิทธิ์สามารถเห็นค่า secret ได้ในผลลัพธ์ที่ถูก render ออกมา ถือเป็นการทำลาย boundary ของการอนุญาต (authorization boundary)
ทั้งสองช่องโหว่นี้ส่งผลกระทบต่อเวอร์ชันก่อนหน้า 3.1.4 และทีมพัฒนาได้ออกแพตช์แก้ไขเรียบร้อยแล้ว โดยแนะนำให้ผู้ดูแลระบบรีบอัปเดตทันทีเพื่อป้องกันการรั่วไหลของข้อมูลสำคัญ โดยเฉพาะระบบที่มีการจัดการ workflow ที่เกี่ยวข้องกับข้อมูลทางการเงินหรือ API ที่เชื่อมต่อกับบริการภายนอก
สรุปสาระสำคัญ
ช่องโหว่ที่พบใน Apache Airflow
CVE-2025-65995: DAG traceback แสดงข้อมูล kwargs ที่อาจมี secret
CVE-2025-66388: Template rendering ไม่ redaction secret อย่างถูกต้อง
ระดับความรุนแรง
CVE-2025-65995: Moderate
CVE-2025-66388: Low
การแก้ไข
ทีมพัฒนาออกแพตช์ในเวอร์ชัน 3.1.4
คำเตือนสำหรับผู้ดูแลระบบ
หากไม่อัปเดต อาจเสี่ยงต่อการรั่วไหล API keys และรหัสผ่าน
การรั่วไหล credential อาจนำไปสู่การเข้าถึงระบบโดยไม่ได้รับอนุญาต
https://securityonline.info/apache-airflow-flaws-leak-sensitive-credentials-in-ui-via-dag-tracebacks-template-rendering/
Apache Airflow ซึ่งเป็นแพลตฟอร์มยอดนิยมสำหรับการจัดการ workflow แบบโปรแกรม ถูกพบช่องโหว่ที่อาจทำให้ข้อมูลลับรั่วไหลสู่ผู้ใช้ที่มีสิทธิ์เข้าถึง UI โดยตรง ช่องโหว่แรก CVE-2025-65995 (ระดับ Moderate) เกิดขึ้นจากการที่ระบบแสดง DAG traceback ที่ละเอียดเกินไปเมื่อ workflow ล้มเหลว ทำให้ผู้ใช้สามารถเห็นค่า kwargs ที่ส่งไปยัง operator ซึ่งบางครั้งอาจมีข้อมูลลับ เช่น API keys หรือรหัสผ่าน
ช่องโหว่ที่สอง CVE-2025-66388 (ระดับ Low) เกิดจากการที่ระบบ template rendering ไม่ได้ทำการ redaction ข้อมูลลับอย่างถูกต้อง ส่งผลให้ผู้ใช้ที่ไม่ควรมีสิทธิ์สามารถเห็นค่า secret ได้ในผลลัพธ์ที่ถูก render ออกมา ถือเป็นการทำลาย boundary ของการอนุญาต (authorization boundary)
ทั้งสองช่องโหว่นี้ส่งผลกระทบต่อเวอร์ชันก่อนหน้า 3.1.4 และทีมพัฒนาได้ออกแพตช์แก้ไขเรียบร้อยแล้ว โดยแนะนำให้ผู้ดูแลระบบรีบอัปเดตทันทีเพื่อป้องกันการรั่วไหลของข้อมูลสำคัญ โดยเฉพาะระบบที่มีการจัดการ workflow ที่เกี่ยวข้องกับข้อมูลทางการเงินหรือ API ที่เชื่อมต่อกับบริการภายนอก
สรุปสาระสำคัญ
ช่องโหว่ที่พบใน Apache Airflow
CVE-2025-65995: DAG traceback แสดงข้อมูล kwargs ที่อาจมี secret
CVE-2025-66388: Template rendering ไม่ redaction secret อย่างถูกต้อง
ระดับความรุนแรง
CVE-2025-65995: Moderate
CVE-2025-66388: Low
การแก้ไข
ทีมพัฒนาออกแพตช์ในเวอร์ชัน 3.1.4
คำเตือนสำหรับผู้ดูแลระบบ
หากไม่อัปเดต อาจเสี่ยงต่อการรั่วไหล API keys และรหัสผ่าน
การรั่วไหล credential อาจนำไปสู่การเข้าถึงระบบโดยไม่ได้รับอนุญาต
https://securityonline.info/apache-airflow-flaws-leak-sensitive-credentials-in-ui-via-dag-tracebacks-template-rendering/
⏳ Apache Airflow อุดช่องโหว่รั่วไหล Credential ผ่าน UI และ Template Rendering
Apache Airflow ซึ่งเป็นแพลตฟอร์มยอดนิยมสำหรับการจัดการ workflow แบบโปรแกรม ถูกพบช่องโหว่ที่อาจทำให้ข้อมูลลับรั่วไหลสู่ผู้ใช้ที่มีสิทธิ์เข้าถึง UI โดยตรง ช่องโหว่แรก CVE-2025-65995 (ระดับ Moderate) เกิดขึ้นจากการที่ระบบแสดง DAG traceback ที่ละเอียดเกินไปเมื่อ workflow ล้มเหลว ทำให้ผู้ใช้สามารถเห็นค่า kwargs ที่ส่งไปยัง operator ซึ่งบางครั้งอาจมีข้อมูลลับ เช่น API keys หรือรหัสผ่าน
ช่องโหว่ที่สอง CVE-2025-66388 (ระดับ Low) เกิดจากการที่ระบบ template rendering ไม่ได้ทำการ redaction ข้อมูลลับอย่างถูกต้อง ส่งผลให้ผู้ใช้ที่ไม่ควรมีสิทธิ์สามารถเห็นค่า secret ได้ในผลลัพธ์ที่ถูก render ออกมา ถือเป็นการทำลาย boundary ของการอนุญาต (authorization boundary)
ทั้งสองช่องโหว่นี้ส่งผลกระทบต่อเวอร์ชันก่อนหน้า 3.1.4 และทีมพัฒนาได้ออกแพตช์แก้ไขเรียบร้อยแล้ว โดยแนะนำให้ผู้ดูแลระบบรีบอัปเดตทันทีเพื่อป้องกันการรั่วไหลของข้อมูลสำคัญ โดยเฉพาะระบบที่มีการจัดการ workflow ที่เกี่ยวข้องกับข้อมูลทางการเงินหรือ API ที่เชื่อมต่อกับบริการภายนอก
📌 สรุปสาระสำคัญ
✅ ช่องโหว่ที่พบใน Apache Airflow
➡️ CVE-2025-65995: DAG traceback แสดงข้อมูล kwargs ที่อาจมี secret
➡️ CVE-2025-66388: Template rendering ไม่ redaction secret อย่างถูกต้อง
✅ ระดับความรุนแรง
➡️ CVE-2025-65995: Moderate
➡️ CVE-2025-66388: Low
✅ การแก้ไข
➡️ ทีมพัฒนาออกแพตช์ในเวอร์ชัน 3.1.4
‼️ คำเตือนสำหรับผู้ดูแลระบบ
⛔ หากไม่อัปเดต อาจเสี่ยงต่อการรั่วไหล API keys และรหัสผ่าน
⛔ การรั่วไหล credential อาจนำไปสู่การเข้าถึงระบบโดยไม่ได้รับอนุญาต
https://securityonline.info/apache-airflow-flaws-leak-sensitive-credentials-in-ui-via-dag-tracebacks-template-rendering/
0 Comments
0 Shares
46 Views
0 Reviews
Thai