7월 말쯤 오픈 톡방에서 공유드렸던 Apache Airflow 3.0.3의 Connection 민감 필드 정보 노출 취약점에 대해, 오늘 공식 안내글(CVE-2025-54831)이 올라왔습니다.
관련 이슈 및 패치:
취약점 개요
- 제목: CVE-2025-54831: Apache Airflow: Connection sensitive details exposed to users with READ permissions (읽기 권한이 있는 사용자에게 Connection 관련 민감 정보가 노출됨)
- 심각도(Severity): Important
- 영향받는 버전: Apache Airflow 3.0.3
Apache Airflow 3에서는 Connection의 민감 필드 정보(비밀번호, 토큰 등)를 수정 권한이 있는 사용자만 작성 가능하도록(write-only) 제한하는 모델을 도입했습니다.
그러나 3.0.3에서는 이 모델이 무너져, READ 권한만 가진 사용자도 API와 UI를 통해 민감 정보를 확인할 수 있는 문제가 발생했습니다.
또한 이 동작은 AIRFLOW__CORE__HIDE_SENSITIVE_VAR_CONN_FIELDS 설정값도 무시한다는 큰 문제가 있었습니다.
Airflow 2.x 버전은 영향을 받지 않습니다. 2.x에서는 Connection에서 민감 정보를 볼 수 있는 것이 의도된 동작입니다.
권장 조치
- Apache Airflow 3.0.3 사용자 분들은 반드시 3.0.4 이상으로 업그레이드를 권장합니다.
- 3.0.3 버전을 유지할 경우 심각한 보안 위험이 발생할 수 있습니다.
References:
https://lists.apache.org/thread/jg3jo9lx397f71ojbcy9kd60vm3gpn0n
https://www.cve.org/CVERecord?id=CVE-2025-54831