CVE-2025-66236: Apache Airflow 配置密钥泄露漏洞 漏洞概述 在 Apache Airflow 3.0.0 之前,DAG 运行日志 UI 中会明文记录 Airflow 配置文件中的密钥。这导致安全敏感信息(如 JWT 密钥、工作负载隔离配置等)可能被未授权用户查看。 影响范围 受影响版本:Apache Airflow (apache-airflow) 3.0.0 之前版本 严重程度:moderate(中等) 修复方案 升级版本:建议用户升级到 Apache Airflow 3.2.0 或更高版本,该版本已修复此问题。 参考文档: - Airflow 3.2.0 Blog Announcement - Security Model - JWT Token Authentication - Workload Isolation 参考链接 GitHub Issue: apache/airflow/pull/58662 Airflow Issue: apache/airflow/issues/58662 CVE Record: CVE-2025-66236