CVE-2026-49298
HighCVSS 8.8Summary
Błąd w KubernetesExecutor Apache Airflow powoduje, że tokeny JWT używane przez podów roboczych do uwierzytelniania w Execution API są przekazywane do kontenera roboczego jako argumenty wiersza poleceń, widoczne w specyfikacji poda. Użytkownik z uwierzytelnionym dostępem do UI/API i uprawnieniami tylko do odczytu w klastrze Kubernetes może zebrać token JWT z wyjścia `kubectl describe pod` i wywołać punkty końcowe Execution API, co może prowadzić do nieautoryzowanych działań.
Risk Assessment
Organizacja może być narażona na nieautoryzowane wywołania API, co może skutkować niekontrolowanym uruchamianiem zadań, modyfikowaniem zmiennych oraz innymi działaniami, które mogą wpłynąć na integralność i bezpieczeństwo systemu. W szczególności, dostęp do wrażliwych danych i operacji może prowadzić do poważnych naruszeń bezpieczeństwa.
Recommendation
Zaleca się aktualizację do wersji `apache-airflow` 3.2.2 lub nowszej, aby załatać tę podatność. Użytkownicy, którzy już zaktualizowali `apache-airflow-providers-cncf-kubernetes` do wersji 10.17.0 lub nowszej, powinni również zaktualizować `apache-airflow` w celu zamknięcia luki w zabezpieczeniach.
Original NVD description (English source)
A bug in Apache Airflow's KubernetesExecutor caused JWT tokens used by worker pods to authenticate against the Execution API to be passed to the worker container as command-line arguments visible in the pod spec. An authenticated UI/API user with Kubernetes read-only access to the cluster (e.g. `pods/get` in the Airflow namespace) could harvest the JWT from `kubectl describe pod` output and then call state-mutating Execution API endpoints — triggering Dag runs, clearing runs, reading or writing Variables / Connections / XComs — as if they were a running task. Affects deployments using the `KubernetesExecutor`. Users are advised to upgrade to `apache-airflow` 3.2.2 or later. This is the airflow-core half of the same vulnerability addressed by [CVE-2026-27173](https://www.cve.org/CVERecord?id=CVE-2026-27173), which shipped the apache-airflow-providers-cncf-kubernetes side of the fix. Deployments that already upgraded `apache-airflow-providers-cncf-kubernetes` to 10.17.0 or later per the CVE-2026-27173 advisory should additionally upgrade `apache-airflow` to 3.2.2 or later to close the core-side surface — the two fixes are complementary, not duplicates.

