Schadcode-Schlupflöcher bedrohen Apache Airflow und Airflow Keycloak
Apaches Open-Source-Workflow-Management-Plattformen Airflow und Airflow Keycloak sind verwundbar. Eine Lücke gilt als kritisch.
(Bild: Artur Szczybylo/Shutterstock.com)
Angreifer können Apache Airflow und Airflow Keycloak attackieren und Systeme im schlimmsten Fall vollständig kompromittieren.
Sicherheitsupdates verfügbar
Insgesamt haben die Entwickler sechs Sicherheitslücken geschlossen. Das geht aus mehreren Warnmeldungen aus der Airflow-Mailingliste hervor. Eine Schwachstelle (CVE-2026-25917) gilt als „kritisch“. Darüber können Angreifer im Kontext des Webservers über eine Xcom-Payload Schadcode ausführen.
Videos by heise
Es gibt noch eine weitere Schadcodelücke (CVE-2026-30898 „hoch“). Außerdem können Informationen leaken (CVE-2026-30912 „hoch“). Die Entwickler versichern, die Sicherheitsprobleme in Airflow 3.2.0 gelöst zu haben. Alle vorigen Versionen seien angreifbar.
Einer Warnmeldung zufolge ist Airflow Keycloak nur von einer Schwachstelle (CVE-2026-40948 „mittel“) betroffen. Hier schafft die Ausgabe 0.7.0 Abhilfe.
(des)
