概要
Apache Airflow の 3.2.0 未満 の バージョン において、ユーザー が ログアウト した 際 に JWT トークン が 無効化 されない 問題 が 存在 します。ログアウト 後 も トークン が 有効 な まま 残る ため、トークン が 傍受 された 場合 に 攻撃者 が そのトークン を 再利用 して 不正 に アクセス する こと が 可能 です。
Airflow 3.2.0 で ログアウト 時 の トークン 無効化 が 実装 され、本脆弱性 は 修正 されて います。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS v3 スコア | 9.1(Critical) |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 低 |
| 必要な特権(PR) | 不要 |
| ユーザー関与(UI) | 不要 |
| 影響の範囲(S) | 変更なし |
| 機密性への影響(C) | 高 |
| 完全性への影響(I) | 高 |
| 可用性への影響(A) | なし |
| CWE | CWE-613(不十分なセッション期限切れ) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン | 修正バージョン |
|---|---|---|---|
| Apache Airflow | Apache Software Foundation | 3.2.0 未満 | 3.2.0 |
修正バージョンと回避策
- 修正: Apache Airflow 3.2.0 へアップデート
- 回避策: アップデートまでの間、JWTトークンの有効期限を短く設定する、ネットワーク経路の暗号化(TLS)を徹底する
- 確認方法:
airflow versionコマンドでバージョンを確認
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。