製品・ソフトウェアに関する情報
Vulnerability Search
Apache Software FoundationのApache Airflow FTP Providerにおける重要な情報の平文での送信に関する脆弱性
Title Apache Software FoundationのApache Airflow FTP Providerにおける重要な情報の平文での送信に関する脆弱性
Summary

Apache AirflowのFTPプロバイダーの`FTPSHook.get_conn()`は`ftplib.FTP_TLS`接続を作成しましたが、`prot_p()`を呼び出していなかったため、制御チャネルはTLSで保護されていたものの、データチャネルは平文で送信されていました。`FTPSHook`または`FTPSFileTransmitOperator`を使用してFTPS経由でファイルを転送するすべての環境では、ファイルの内容および転送中の認証情報が、データ接続を監視できるネットワーク攻撃者に露出する可能性がありました。データチャネルを暗号化する`PROT P`を発行するapache-airflow-providers-ftpの`3.15.1`以降にアップグレードしてください。

Possible impacts ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアは停止しません。 
Solution

ベンダ情報を参照して適切な対策を実施してください。

Publication Date June 26, 2026, midnight
Registration Date June 29, 2026, 11:13 a.m.
Last Update June 29, 2026, 11:13 a.m.
CVSS3.0 : 重要
Score 7.5
Vector CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Affected System
Apache Software Foundation
Apache Airflow FTP Provider 3.15.1 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
その他
Change Log
No Changed Details Date of change
1 [2026年06月29日]
  掲載		 June 29, 2026, 11:13 a.m.
NVD Vulnerability Information
CVE-2026-49486
Summary

The Apache Airflow FTP provider's `FTPSHook.get_conn()` created an `ftplib.FTP_TLS` connection but never called `prot_p()`, so although the control channel was TLS-protected the data channel was transmitted in cleartext. Any deployment using `FTPSHook` or `FTPSFileTransmitOperator` to move files over FTPS exposed file contents and credentials-in-transit to a network attacker able to observe the data connection. Upgrade apache-airflow-providers-ftp to `3.15.1` or later, which issues `PROT P` to encrypt the data channel.

Publication Date June 26, 2026, 5:16 p.m.
Registration Date June 27, 2026, 4:32 a.m.
Last Update June 27, 2026, 3:58 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:apache:apache-airflow-providers-ftp:*:*:*:*:*:*:*:* 3.15.1
Related information, measures and tools
Common Vulnerabilities List