CRITICAL🇬🇧 English

CVE-2025-57735

Apache Airflow: brak unieważnienia tokenu JWT po wylogowaniu

CVSS 9.1v3.1pub. 2026-04-09upd. 2026-04-17

W Apache Airflow token JWT użytkownika nie był unieważniany po wylogowaniu, co umożliwiało jego ponowne wykorzystanie w przypadku przechwycenia. Podatność jest krytyczna, ponieważ nie wymaga żadnych uprawnień ani interakcji użytkownika do eksploatacji.

Pokaż oryginał (EN)

When user logged out, the JWT token the user had authtenticated with was not invalidated, which could lead to reuse of that token in case it was intercepted. In Airflow 3.2 we implemented the mechanism that implements token invalidation at logout. Users who are concerned about the logout scenario and possibility of intercepting the tokens, should upgrade to Airflow 3.2+ Users are recommended to upgrade to version 3.2.0, which fixes this issue.

🤖 Analiza AI
Jak działa

Po wylogowaniu się użytkownika z systemu serwer nie unieważniał wydanego wcześniej tokenu JWT (CWE-613: niewystarczające wygasanie sesji). Token pozostawał ważny przez cały swój pierwotny czas życia. Atakujący, który przechwycił token (np. przez podsłuch sieciowy, wyciek logów lub inną metodę), mógł go użyć do uwierzytelnienia się w imieniu wylogowanego użytkownika. Mechanizm unieważniania tokenów przy wylogowaniu został wprowadzony dopiero w wersji Apache Airflow 3.2.

Skutki

Atakujący posiadający przechwycony token JWT może uzyskać nieautoryzowany dostęp do systemu z uprawnieniami pierwotnego użytkownika, co zagraża poufności i integralności danych oraz konfiguracji przepływów pracy (DAG-ów) zarządzanych przez Airflow.

Mitygacja

Należy zaktualizować Apache Airflow do wersji 3.2.0 lub nowszej, która wprowadza mechanizm unieważniania tokenów JWT przy wylogowaniu. Do czasu aktualizacji zaleca się minimalizowanie ekspozycji interfejsu Airflow na niezaufane sieci oraz stosowanie krótkich czasów życia tokenów JWT, jeśli jest to możliwe do skonfigurowania.

Kogo dotyczy

Apache Airflow w wersjach wcześniejszych niż 3.2.0

Uwagi

Poprawka została dostarczona w ramach Apache Airflow 3.2.0. Szczegóły techniczne opublikowano na liście dyskusyjnej Apache oraz oss-security w dniu 2026-04-09.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Apache Airflow

    APP
    Apache
    3.0.0 – 3.2.0 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2020-13927CRITICAL9.8⚠ KEVten sam produkt

The previous default setting for Airflow's Experimental API was to allow all API requests without authenticati...

CVE-2026-42252CRITICAL9.1PL ✓ten sam produkt

Apache Airflow: command injection przez niebezpieczny wzorzec w dokumentacji BashOperator

CVE-2024-42447CRITICAL9.8PL ✓ten sam produkt

Apache Airflow Providers FAB — nieprawidłowe wygasanie sesji (CWE-613)

CVE-2023-25754CRITICAL9.8ten sam produkt

Privilege Context Switching Error vulnerability in Apache Software Foundation Apache Airflow.This issue affect...

CVE-2023-22884CRITICAL9.8ten sam produkt

Improper Neutralization of Special Elements used in a Command ('Command Injection') vulnerability in Apache So...