概要
Apache Airflowに、DAGのパース処理が失敗した際に、UIのエラーレポートに機密情報が含まれてしまう可能性のある脆弱性(CVE-2025-65995)が報告されました。
この問題は、オペレーターに渡される引数(kwargs)にシークレットなどの機密情報が含まれていた場合、その情報がUI上のトレースバックに表示され、当該DAGの閲覧権限を持つ認証済みユーザーに公開される可能性があるというものです。
影響範囲
Apache Airflowの特定のバージョンが影響を受けます。具体的には、修正バージョンであるAirflow 3.1.4および2.11.1より前のバージョンが該当すると考えられます。
想定される影響
DAGのパース失敗時、オペレーターのkwargsに含まれる機密情報(APIキー、データベース認証情報など)が、AirflowのUIを通じて、そのDAGを閲覧する権限を持つ認証済みユーザーに意図せず公開される可能性があります。
これにより、内部の機密情報が不適切に共有され、さらなる情報漏洩や不正アクセスのリスクにつながる可能性があります。
攻撃成立条件・悪用状況
この脆弱性は、DAGのパースが失敗し、かつ、そのDAGのオペレーターのkwargsに機密情報が含まれている場合に発生します。
悪用には、Airflowシステムへの認証が必要であり、かつ、当該DAGを閲覧する権限を持つユーザーがUIにアクセスする必要があります。
現時点では、この脆弱性が実際に悪用されたという具体的な報告は確認されていません。
推奨対策
今すぐできる対策(最優先)
- Apache Airflowのアップグレード: 開発元は、本脆弱性を修正したバージョンであるAirflow 3.1.4または2.11.1へのアップグレードを強く推奨しています。機密情報の漏洩を防ぐため、速やかにアップグレードを実施してください。
中長期的な対策
- 機密情報の取り扱い見直し: オペレーターのkwargsに直接機密情報を渡す運用を見直し、AirflowのConnectionsやSecrets Backendなどの安全な方法で管理することを検討してください。
- アクセス権限の最小化: Airflow UIにおけるDAGの閲覧権限を厳格に管理し、必要最小限のユーザーにのみ付与するよう見直してください。
一時的な緩和策
現時点では、アップグレード以外の明確な一時的な緩和策は報告されていません。ただし、DAGのパース失敗を極力減らすためのDAGコードの堅牢化や、kwargsに機密情報を直接含めない運用への移行を検討することは、リスク低減に繋がる可能性があります。
確認方法
現在利用しているApache Airflowのバージョンを確認し、修正バージョン(3.1.4または2.11.1)よりも古い場合は、本脆弱性の影響を受ける可能性があります。
また、過去にDAGのパース失敗が発生した際に、UIのトレースバックに機密情報が表示されていなかったか、ログなどを確認することも有効かもしれません。
参考情報
- CVE-2025-65995 詳細: https://cvefeed.io/vuln/detail/CVE-2025-65995