つみかさね

CVE-2026-49298

High(7.5)

Apache AirflowのJWT漏洩 CVE-2026-49298:影響範囲と対応方法

公開日: 2026-07-10データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
apache-airflow-coreApache Software Foundation< 3.2.2

対応ガイド

high|推奨セキュリティ修正影響: 限定的

推奨アクション

  1. 1airflow version でバージョンを確認する
  2. 2airflow config get-value core executor でKubernetesExecutorを使用しているか確認する
  3. 3KubernetesExecutorを使用している場合は 3.2.2 へのアップグレードを計画する
  4. 4アップグレード後、スケジューラとワーカーの動作確認を実施する

影響対象

KubernetesExecutorを使用するApache Airflow環境

補足

  • -Airflow のメジャーバージョンアップは依存関係の変更を伴う場合があります。ステージング環境で事前検証を推奨します
  • -既存のDAGや接続設定への影響がないか確認してください
CVEApache AirflowJWTKubernetesExecutorPyPI情報漏洩

30秒で判断

対応すべき人:

  • Apache Airflow を KubernetesExecutor または LocalKubernetesExecutor で運用している
  • Airflow 3.2.2 未満を使用している

対応不要な人:

  • Apache Airflow を使用していない
  • CeleryExecutorLocalExecutor など KubernetesExecutor 以外を使用している
  • すでに 3.2.2 以降にアップデート済み

確認コマンド:

# Airflow バージョン確認
pip show apache-airflow | grep Version
airflow version

# 使用中の Executor 確認
airflow config get-value core executor
# または airflow.cfg の確認
grep executor airflow.cfg

概要

Apache Airflow の KubernetesExecutor は、タスクを Kubernetes ワーカー Pod として起動する実行エンジンです。CVE-2026-49298 では、Execution API の認証に使用する JWT トークンがワーカープロセスのコマンドライン引数として渡されることが判明しました。

Linux 環境では /proc/<pid>/cmdline を通じてプロセスのコマンドライン引数を他プロセスから読み取ることができます。Pod 内の権限があるユーザや、同一ノード上で稼働する他のプロセスが JWT を読み取り、Airflow Execution API に不正アクセスする可能性があります。

特に、マルチテナントの Kubernetes 環境や、Airflow ワーカーと他のワークロードが混在する環境では影響が大きくなります。


CVSSベクトル(推定)

項目
Attack VectorLocal
Attack ComplexityLow
Privileges RequiredLow
User InteractionNone
ScopeChanged
ConfidentialityHigh
IntegrityLow
AvailabilityNone
推定CVSSスコア7.5 (High)

CVSS数値スコアはNVDによる正式評価待ち(GHSAではHIGHと分類)


影響を受けるソフトウェア

製品影響バージョン修正バージョン
apache-airflow-core3.2.2 未満3.2.2

修正バージョンと対応手順

修正版: 3.2.2

# pip でアップグレード
pip install apache-airflow==3.2.2

# または conda 環境の場合
conda install apache-airflow=3.2.2

# アップグレード後のバージョン確認
airflow version

回避策(アップデートが困難な場合):

  • Airflow ワーカー Pod へのアクセスを最小権限に制限する(PodSecurityAdmission 等)
  • ワーカー Pod と他のワークロードを同一ノードに配置しない(taints/tolerations)
  • 定期的な JWT ローテーションを実施し、漏洩した場合の被害を最小化する

関連リンク


データソース: GitHub Advisory Database (GHSA)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。