漏洞概述 CVE编号: CVE-2026-45426 漏洞名称: Apache Airflow: Log server JWT authorization bypass via Python lstrip() character stripping allows cross-Dag log access 严重程度: 低 受影响版本: Apache Airflow (apache-airflow) 3.0.0 到 3.2.2 描述: 攻击者需要已经是经过认证的Airflow worker,并持有至少一个Dag的Log-server JWT令牌。Apache Airflow的Log server在验证JWT的'sub' claim时,使用Python的lstrip()方法,会移除任何一组字符(如a, b, c, j, k, p, s, t, u, v, w, x, y, z)的左侧前缀。例如,一个名为'dag_a'的Dag的JWT令牌可以授权访问任何其他以这些字符开头的Dag的日志,导致日志输出和错误跟踪泄露,超出文档化的每Dag隔离边界。影响依赖每Dag日志访问范围的多租户、共享执行器、共享工作器拓扑的部署。 影响范围 受影响版本: Apache Airflow (apache-airflow) 3.0.0 到 3.2.2 影响: 可能导致跨Dag的日志访问,泄露敏感信息。 修复方案 建议: 升级到 apache-airflow 3.2.2 或更高版本。 参考链接 GitHub Issue Airflow官网 CVE记录 贡献者 发现者: Michael Lip (theluckystrike) 修复开发者: Janek Potuń (potnix) 其他信息 邮件列表: users@airflow.apache.org 取消订阅: users-unsubscribe@airflow.apache.org 帮助: users-help@airflow.apache.org 页面底部信息 Powered by: Apache Pony Mail (Fossil v1.0.1 - 7f8d7f9) 隐私政策: privacy@apache.org 问题反馈: users@infra.apache.org