漏洞概述 CVE编号: CVE-2026-40948 漏洞名称: Apache Airflow Keycloak Provider: OAuth Login CSRF — Missing State Parameter in Keycloak Auth Manager 严重程度: 低 描述: - 在 中,Keycloak 认证管理器在登录/登录回调流程中未生成或验证 OAuth 2.0 'state' 参数,且未使用 PKCE。 - 攻击者可以向受害者浏览器发送一个精心构造的回调 URL,导致受害者被登录到攻击者的 Airflow 会话(登录 CSRF / 会话固定)。 - 攻击者可以窃取受害者随后存储在 Airflow 连接中的任何凭据。 影响范围 受影响版本: - Apache Airflow Keycloak Provider ( ) 0.0.1 到 0.7.0 修复方案 建议: 用户应升级到 0.7.0 或更高版本。 参考链接 GitHub Pull Request Airflow 官网 CVE 记录 贡献者 发现者: Haruki Oyama (Waseda University) 修复开发者: Anika Basu 其他信息 邮件列表: - 退订: users-unsubscribe@airflow.apache.org - 命令: users-help@airflow.apache.org 页面底部信息 Powered by: Apache Pony Mail (Fossil v1.0.1 - ?Mail?d?) 隐私政策: privacy@apache.org 问题联系: users@infra.apache.org