Apache Airflow Vulnerabilities Enables Expose of Sensitive Data
2026/01/20 CyberSecurityNews — Apache Airflow バージョン 3.1.6 未満に存在する複数の脆弱性を悪用する攻撃者によリ、ログおよび UI を介して認証情報やシークレットなどの機密情報が露出する可能性がある。いずれの問題も、描画処理およびログ出力時における機密データのマスキングが不十分であることに起因している。それにより、本番環境においてプロキシ認証情報やデータベース・シークレットなどが漏洩するリスクが生じている。
プロキシ認証情報のタスクログ漏洩
1 つ目の脆弱性 CVE-2025-68675 は、Apache Airflow のバージョン 3.1.6 未満に影響する。この問題は、Connection オブジェクト内におけるプロキシ設定の取り扱いに起因する。
プロキシ URL には、”http://username:password@proxy-host:port” の形式で認証情報が埋め込まれていることが多い。
しかし、proxies フィールドおよび proxy フィールドは機密情報として指定されていないため、タスク実行時に接続情報が描画またはログ出力される際に、Airflow の自動ログ・マスキング機構による認証情報の難読化が行われない。
一般的に、一連のタスクログは、複数のチーム・メンバーにより頻繁に参照され、集中ログ・システムに保存され、コンプライアンス目的で長期間アーカイブされる。したがって、重大な露出ベクターが生じてしまう。
| VE ID | Affected Versions | Severity | Exposure Method |
|---|---|---|---|
| CVE-2025-68675 | <3.1.6 | Low | Task logs |
| CVE-2025-68438 | 3.1.0-3.1.6 | Low | Rendered Templates UI |
ログへの読み取りアクセス権を持つ攻撃者や低権限のユーザーは、プロキシ認証情報の抽出が可能になる。続いて、それを悪用して影響を受けるワークフローの、ネットワーク・トラフィックを傍受/リダイレクトする恐れがある。
プロキシ認証を利用する接続を持ち、タスクを実行している組織では、認証情報漏洩のリスクが高まる。
UI におけるシークレット露出
2 つ目の脆弱性 CVE-2025-68438 は、異なる攻撃ベクターを持つが、同様に深刻な露出経路をもたらす。
描画対象のテンプレート・フィールドが、設定された “[core] max_templated_field_length” の閾値を超えた場合のシリアライズ処理では、ユーザーが登録した mask_secret() パターンを持たないシークレット・マスカー・インスタンスが使用される。
その結果として、ユーザー定義のシークレット・マスキング・パターンが適用されない状態でフィールドの切り詰めが行われ、Rendered Templates UI 上に表示される。
それにより、テンプレート・フィールド内に含まれる、API キー/データベース・パスワード/暗号化トークンなどの機密値が Web インターフェイス上に平文として露出する可能性がある。
この切り詰め処理は、シリアライズ後のマスキング完了前に実行されるため、Airflow Web UI にアクセス可能な任意のユーザーに対して、シークレットの一部が露出してしまう。
これらの 2 つの脆弱性の悪用の前提としては、いずれも Airflow 環境への認証を必要とするが、内部脅威やラテラル・ムーブメントのリスクを内包している。
厳格なログ保持ポリシーを採用している組織では、漏洩した認証情報がアーカイブされたログ内に長期間残存する可能性があるため、露出の長期化が懸念される。
Apache Airflow の最新バージョン 3.1.6 では、プロキシ関連フィールドを適切に機密情報として指定し、テンプレート切り詰め前にユーザー登録マスキング・パターンが確実に適用されるよう修正されている。
影響を受ける、すべてのユーザーにとって必要なことは、速やかなアップグレードの実施である。迅速なアップグレードが困難な環境では、ログ・システムおよび Airflow Web UI に対するアクセス制御を厳格化することが、暫定的な緩和策となる。
ワークフロー管理ツールである Apache Airflow に、機密情報がログや管理画面に漏れ出してしまう脆弱性が見つかりました。この問題の原因は、データの表示や記録の処理における設定漏れと処理の順番の間違いにあります。1 つ目の脆弱性 CVE-2025-68675 は、プロキシ・サーバの接続情報に含まれるユーザー名やパスワードが、機密データとして認識されていなかったことに原因があります。そのため、タスクの実行ログに機密データがそのまま記録されてしまい、ログを参照できるユーザーに筒抜けになっていました。
2 つ目の脆弱性 CVE-2025-68438 は、管理画面で長いデータを表示する際の不備に原因があります。Airflow には長い文字列を切り詰めて表示する機能がありますが、その切り詰めがマスキングよりも先に行われてしまうため、隠されるべき重要な情報が画面に出力されてしまう状態にあります。これらの脆弱性を悪用されると、データベースのパスワードや認証トークンが組織内のユーザーに盗み出され、他のシステムへ不正アクセスを許す恐れがあります。ご利用のチームは、ご注意ください。よろしければ、Apache Airflow での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.