概要
Apache Airflowのバージョン3.0.0から3.1.7において、FastAPI DagVersion listing APIに脆弱性(CVE-2026-26929)が存在することが報告されました。この脆弱性は、dag_idをワイルドカード「~」(すべてのDAGを意味する)としてリクエストが送信された際に、DAGごとの認可フィルタリングが適切に適用されないことに起因します。結果として、リクエスト元がアクセス権を持たないDAGのバージョンメタデータが返されてしまう可能性があります。
影響範囲
本脆弱性の影響を受けるのは、以下のApache Airflowのバージョンです。
- Apache Airflow 3.0.0 から 3.1.7 まで
想定される影響
認証されたユーザーが、本来アクセス権を持たないDAG(Directed Acyclic Graph)のバージョンメタデータ(DAGの定義や履歴に関する情報)を取得できる可能性があります。これにより、システム内部の構成や処理内容に関する情報が意図せず開示されるリスクが考えられます。
攻撃成立条件・悪用状況
攻撃成立条件
認証されたユーザーが、FastAPI DagVersion listing APIに対してdag_idをワイルドカード「~」としてリクエストを送信することで、脆弱性が悪用される可能性があります。
悪用状況
現時点では、この脆弱性の具体的な悪用事例は報告されていません。
推奨対策
最優先で実施すべき対策
- Apache Airflow のアップデート: 開発元は、本脆弱性を解決したApache Airflow 3.1.8以降のバージョンへのアップグレードを推奨しています。速やかに最新の修正済みバージョンへアップデートしてください。
一時的な緩和策
現時点では、この脆弱性に対する具体的な一時的な緩和策は報告されていません。
確認方法
現時点では、この脆弱性の影響を受けているかどうかを確認する具体的な方法は報告されていません。システムログの監視や、APIアクセスログの確認などが考えられますが、確実な方法ではありません。
参考情報
- CVE-2026-26929 詳細情報: https://cvefeed.io/vuln/detail/CVE-2026-26929