Apache Airflow koruyucuları, CVE-2025-54831 olarak izlenen ciddi bir güvenlik sorunu açıklamışlardır, bu da yalnızca okuma izinlerini tutan kullanıcıların hem Airflow API hem de Web arayüzü aracılığıyla hassas bağlantı ayrıntılarını görüntülemelerine olanak tanır.
Airflow sürüm 3.0.3’te bulunan güvenlik açığı, platformun bağlantılardaki sırların “salt yazma” tedavisini zayıflatır ve kimlik bilgilerinin ve diğer gizli konfigürasyon verilerinin yetkisiz olarak maruz kalmasına yol açabilir.
Apache Airflow, veri boru hatlarını planlamak ve izlemek için yaygın olarak benimsenen açık kaynaklı bir iş akışı düzenleme platformudur.
Airflow 3.0.0’ın piyasaya sürülmesiyle proje, bağlantı nesnelerinde hassas bilgiler için daha sıkı bir güvenlik modeli sundu.
Bu model altında, şifreler, jetonlar ve özel anahtarlar gibi alanların varsayılan olarak maskelenmesi amaçlanmıştır ve yalnızca açık bağlantı düzenleme (WRITE) izinlerini tutan kullanıcılara açıklanmıştır. Salt okunur kullanıcılar, duyarlı olmayan meta verileri görüntülemekle sınırlıydı.
Ancak, Airflow 3.0.3’teki bir uygulama gözetimi, yanlışlıkla salt okunur kullanıcıların tam hassas değerleri almasına izin verdi.
Sorun, 25 Eylül 2025’te topluluk üyesi Kaxil Naik tarafından geliştirici posta listesinde kamuya açıklandı ve daha sonra CVE-2025-54831’e “önemli” bir önem derecesi ile atandı.
Apache Hava Akışı Güvenlik Açığı
Airflow 3.0.3’te, hem bağlantı detaylarını almak için API uç noktası hem de karşılık gelen UI görünümü bypass AIRFLOW__CORE__HIDE_SENSITIVE_VAR_CONN_FIELDS yapılandırma.
Bu bayrak, etkinleştirildiğinde, password– host– portve JSON yanıtı ve kullanıcı arayüzünde özel ekstralar.
Bunun yerine, salt okunur kullanıcılar HTTP GET isteklerini yerine getirebilir. /api/v1/connections/{connection_id} Veya bu alanları düz metin olarak görüntülemek için web arayüzündeki bağlantı ayrıntıları sayfasına gidin.
Etkilenen unsurlar şunları içerir, ancak bunlarla sınırlı değildir:
- Veritabanı kimlik bilgileri (kullanıcı adı, şifre).
- Bulut Sağlayıcı Erişim Anahtarları ve Sırlar.
- SSH Özel Anahtarlar.
- API jetonları veya diğer sırlar içeren ekstra JSON saha verileri.
Hava akışı bağlantıları genellikle yüksek ayrıcalıklı hizmet kimlik bilgilerini saklamak için kullanıldığından, yetkisiz okuma erişimi önemli bir risk oluşturmaktadır.
Salt okunur bir rolü olan bir saldırgan veya içeriden, hizmet hesap anahtarlarını, bulut kimlik bilgilerini veya şifreleme anahtarlarını, potansiyel olarak aşağı akış yüklerinden, veri depolarından veya tüm bulut ortamlarından ödün verebilir.
Güvenlik açığı yazma seviyesi değişikliklerine veya uzaktan kod yürütülmesine izin vermese de, kimlik bilgilerinin maruz kalması, uzlaşmış bir ortamda yan hareketi, ayrıcalık artışını ve veri söndürülmesini kolaylaştırabilir.
Saldırganlar, standart denetim parkurlarını kimlik bilgisi kötüye kullanma için tetiklemeden üretim veritabanlarına, bulut hizmetlerine ve gizli mağazalara sızmak için açık anahtarlardan yararlanabilir.
Hava akışında katı rol tabanlı erişim kontrolünü (RBAC) uygulayan kuruluşlar, geniş bir kullanıcı tabanına okuma izinleri vererek özellikle risk altındadır.
Çok kiracılı kurulumlarda paylaşılan veya kendi kendine barındırılan hava akışı dağıtımlarını kullanan ekipler, bu güvenlik açığını platformun gizlilik garantilerinde kritik bir atlamayı görmelidir.
- Apache Airflow (Apache-Airflow) 3.0.3
Airflow 2.x sürümleri, bu sürümler yeni yazma maskeleme modelini uygulamadığından ve bağlantı sırlarının tasarım yoluyla editörler tarafından görülebilmesine izin verdiği için etkilenmez.
Hafifletme
Apache Airflow Projesi, 3.0.4 sürümündeki sorunu ele aldı, salt yazma maskeleme davranışını yeniden uyguladı ve saygıyı geri kazandırdı. AIRFLOW__CORE__HIDE_SENSITIVE_VAR_CONN_FIELDS yapılandırma. Airflow 3.0.3’ün tüm kullanıcılarına derhal yükseltmeleri şiddetle tavsiye edilir:
bashpip install --upgrade apache-airflow>=3.0.4
Yükseltmeyi hemen uygulayamayan operatörler, hava akışı web sunucusunun önüne bir proxy veya API ağ geçidi dağıtarak geçici bir çözüm uygulayabilir.
Proxy, hassas JSON alanlarını filtrelemeli veya maskelemeli /api/v1/connections/* uç noktalar. Ayrıca, hava akışı yapılandırmanızda aşağıdaki ortam değişkeninin ayarlandığından emin olun:
textAIRFLOW__CORE__HIDE_SENSITIVE_VAR_CONN_FIELDS=True
Ancak bayrak seti ile bile, 3.0.4’e yükseltme tek garantili düzeltme olmaya devam ediyor.
CVE-2025-54831, iş akışı düzenleme platformlarında sırların güvence altına alınmasının karmaşıklığının altını çizmektedir.
Hava akışının benimsenmesi veri ekipleri arasında büyüdükçe, hizmet kimlik bilgilerinin gizliliğini korumak çok önemlidir.
Yöneticiler derhal Airflow 3.0.4’e yükseltilmeli, RBAC politikalarını denetlemeli ve potansiyel uzlaşmayı azaltmak için açık bağlantılar yoluyla erişilen aşağı akış sistemlerini gözden geçirmelidir. Dikkat ve zamanında yama yönetimi bu tür hassas veri maruziyetlerine karşı en iyi savunma olmaya devam etmektedir.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.