Apache Airflow 3.1.x 버전에서 두 가지 보안 취약점이 발견되었습니다.
영향받는 버전은 Airflow 3.1.4 이전 모든 3.1.x 버전이며, 다행히 Airflow 3.1.4에서 모두 패치되었습니다.
운영 중인 환경에서 3.1.x를 사용하고 계시다면, 즉시 3.1.4 버전으로 업그레이드하시길 권장드립니다.
CVE-2025-65995: Disclosure of secrets to UI via kwargs
심각도: Moderate
문제 설명
Dag가 파싱 과정에서 실패할 경우, Airflow UI는 에러 내용을 보여주기 위해 traceback을 출력합니다.
이때 특정 Operator에 전달된 kwargs 전체가 그대로 포함되는 문제가 발견되었습니다.
만약 이 kwargs 안에 비밀번호, API Key, Token 등 민감한 값이 존재한다면,
해당 Dag를 볼 수 있는 모든 사용자에게 그대로 노출될 위험이 있습니다.
CVE-2025-66388: Secrets in rendered templates not redacted properly and exposed in the UI
심각도: Low
문제 설명
Airflow는 템플릿(Jinja) 렌더링 후 UI에서 값을 표시할 때,
민감한 값이 포함된 부분을 기본적으로 ***으로 마스킹하는 redaction 기능을 제공합니다.
하지만 특정 상황에서는 이 redaction 로직이 제대로 동작하지 않아,
렌더링된 템플릿 안에 비밀값이 그대로 노출될 수 있는 취약점이 확인되었습니다.
대응 방법
두 취약점은 모두 Airflow 3.1.4에서 완전히 수정되었습니다.
운영 중 Airflow 버전이 다음 중 하나라면:
즉시 3.1.4 버전으로 업그레이드를 권장합니다.
그럼 저도 업그레이드를… 하러 
1개의 좋아요
3.1.4의 인증 부분 미들웨어에 버그가 있어서
3.1.5를 바로 릴리즈 했습니다. 3.1.5로 업그레이드하시길 권장드립니다..!
1개의 좋아요