漏洞概述 CVE编号: CVE-2026-41017 漏洞名称: Apache Airflow: JWT cookie missing Secure flag in JWTRefreshMiddleware behind HTTPS-terminating proxy 严重程度: 低 描述: Apache Airflow的 在设置JWT认证cookie时未添加 标志。这导致在HTTPS终止反向代理(如nginx/Envoy或托管负载均衡器)后运行的Airflow API服务器部署中,用户的会话JWT可能会被任何清除的HTTP请求重新播放到同一主机。网络定位攻击者(如Wi-Fi MITM、hostile LAN、恶意portal页面)可以诱导登录用户浏览器向部署的主机名发出HTTP请求,捕获JWT cookie,然后将其重放给经过认证的API。影响那些通过TLS终止代理访问的部署。 影响范围 受影响版本: Apache Airflow (apache-airflow) 3.0.0 到 3.2.2 修复方案 建议: 用户应升级到 apache-airflow 3.2.2 或更高版本。 参考链接 GitHub链接 Airflow官网 CVE记录 其他信息 报告者: Ran (@eddaran) 修复开发者: Janek Potuś 发布日期: 2020年5月31日 联系方式 取消订阅: users-unsubscribe@airflow.apache.org 更多命令: users-help@airflow.apache.org --- 注意: 页面中未包含POC代码或利用代码。