漏洞概述 CVE-2026-49487:Apache Airflow 的 Task-instance API 在延迟触发器 kwarg 中暴露了敏感信息。 影响范围 受影响版本:Apache Airflow (apache-airflow) 3.3.0 之前版本。 描述:在 Apache Airflow 3.3.0 之前,REST API 的 task-instance 详情和列表端点返回了未脱敏的 task 触发器 kwarg。当延迟运算符传递一个秘密(例如一个 provider API key)到其触发器时,任何具有 DAG 范围任务读取权限的已认证用户都可以在任务延迟期间以明文形式读取该秘密。 修复方案 建议升级:用户应升级到 apache-airflow 3.3.0 或更高版本,该版本会屏蔽触发器 kwarg 中返回的敏感值。 参考链接 GitHub 链接 Airflow 官方文档 CVE 记录 致谢 发现者:Andrew Rokin (Arenadata) 修复开发者:Jarek Potiuk (@potiuk) 其他信息 严重程度:中等 发布日期:2020年7月7日 联系邮箱: - 退订:users-unsubscribe@airflow.apache.org - 帮助:users-help@airflow.apache.org 页面底部信息 技术支持:Apache Pony Mail (Fossil v0.3.1 - "RedBird") 隐私政策:privacy@apache.org 用户支持:users@infra.apache.org