製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

Apache Software FoundationのApache Airflowにおける誤った領域へのリソースの漏えいに関する脆弱性

タイトル	Apache Software FoundationのApache Airflowにおける誤った領域へのリソースの漏えいに関する脆弱性
概要	JSON辞書として保存された変数内の秘密情報が適切に秘匿されていませんでした。ユーザーがこれらの変数を取得した場合、ネストされたフィールドとして保存された秘密情報はマスクされていませんでした。もしJSON形式で機密値を含む変数を保存していなければ影響を受けません。そうでなければ、修正が実装されたApache Airflow 3.2.0にアップグレードしてください。
想定される影響	当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。また、当該ソフトウェアが扱う情報について、書き換えは発生しません。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年4月18日0:00
登録日	2026年4月23日10:13
最終更新日	2026年4月23日10:13

CVSS3.0 : 低
スコア	3.7
ベクター	CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N

影響を受けるシステム

Apache Software Foundation

Apache Airflow 3.0.0 以上 3.2.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-32690	https://www.cve.org/CVERecord?id=CVE-2026-32690
National Vulnerability Database (NVD)
2	CVE-2026-32690	https://nvd.nist.gov/vuln/detail/CVE-2026-32690
Pony Mail
3	CVE-2026-32690: Apache Airflow: 3.x - Nested Variable Secret Values Bypass Redaction via max_depth=1-Apache Mail Archives	https://lists.apache.org/thread/7rnzxofntcznqxnhsmjvvlvygwph7rn5

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-668	https://cwe.mitre.org/data/definitions/668.html

ベンダー情報

No	名前	URL
Openwall mailing list archives
1	oss-security - CVE-2026-32690: Apache Airflow: 3.x - Nested Variable Secret Values Bypass Redaction via max_depth=1	http://www.openwall.com/lists/oss-security/2026/04/17/6

その他

No	名前	URL
関連文書
1	Use default max depth to redact Variable by sjyangkevin Pull Request #63480 apache/airflow GitHub	https://github.com/apache/airflow/pull/63480

変更履歴

No	変更内容	変更日
1	[2026年04月23日] 掲載	2026年4月23日10:13

NVD脆弱性情報

CVE-2026-32690

概要	Secrets in Variables saved as JSON dictionaries were not properly redacted - in case thee variables were retrieved by the user the secrets stored as nested fields were not masked. If you do not store variables with sensitive values in JSON form, you are not affected. Otherwise please upgrade to Apache Airflow 3.2.0 that has the fix implemented
公表日	2026年4月18日16:16
登録日	2026年4月19日4:09
最終更新日	2026年4月21日23:41

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:apache:airflow::::::::		3.0.0			3.2.0

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/apache/airflow/pull/63480	security@apache.org
2	https://lists.apache.org/thread/7rnzxofntcznqxnhsmjvvlvygwph7rn5	security@apache.org
3	http://www.openwall.com/lists/oss-security/2026/04/17/6	af854a3a-2127-422b-91ae-364da2661108

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-668	誤った領域へのリソースの漏えい	https://cwe.mitre.org/data/definitions/668.html