CVE-2026-49298
WysokieCVSS 8.8Streszczenie
Błąd w KubernetesExecutor Apache Airflow powoduje, że tokeny JWT używane przez podów roboczych do uwierzytelniania w Execution API są przekazywane do kontenera roboczego jako argumenty wiersza poleceń, widoczne w specyfikacji poda. Użytkownik z uwierzytelnionym dostępem do UI/API i uprawnieniami tylko do odczytu w klastrze Kubernetes może zebrać token JWT z wyjścia `kubectl describe pod` i wywołać punkty końcowe Execution API, co może prowadzić do nieautoryzowanych działań.
Ocena ryzyka
Organizacja może być narażona na nieautoryzowane wywołania API, co może skutkować niekontrolowanym uruchamianiem zadań, modyfikowaniem zmiennych oraz innymi działaniami, które mogą wpłynąć na integralność i bezpieczeństwo systemu. W szczególności, dostęp do wrażliwych danych i operacji może prowadzić do poważnych naruszeń bezpieczeństwa.
Rekomendacja
Zaleca się aktualizację do wersji `apache-airflow` 3.2.2 lub nowszej, aby załatać tę podatność. Użytkownicy, którzy już zaktualizowali `apache-airflow-providers-cncf-kubernetes` do wersji 10.17.0 lub nowszej, powinni również zaktualizować `apache-airflow` w celu zamknięcia luki w zabezpieczeniach.
Oryginalny opis (angielski, źródło NVD)
A bug in Apache Airflow's KubernetesExecutor caused JWT tokens used by worker pods to authenticate against the Execution API to be passed to the worker container as command-line arguments visible in the pod spec. An authenticated UI/API user with Kubernetes read-only access to the cluster (e.g. `pods/get` in the Airflow namespace) could harvest the JWT from `kubectl describe pod` output and then call state-mutating Execution API endpoints — triggering Dag runs, clearing runs, reading or writing Variables / Connections / XComs — as if they were a running task. Affects deployments using the `KubernetesExecutor`. Users are advised to upgrade to `apache-airflow` 3.2.2 or later. This is the airflow-core half of the same vulnerability addressed by [CVE-2026-27173](https://www.cve.org/CVERecord?id=CVE-2026-27173), which shipped the apache-airflow-providers-cncf-kubernetes side of the fix. Deployments that already upgraded `apache-airflow-providers-cncf-kubernetes` to 10.17.0 or later per the CVE-2026-27173 advisory should additionally upgrade `apache-airflow` to 3.2.2 or later to close the core-side surface — the two fixes are complementary, not duplicates.

