Apache Software FoundationのApache Airflow Providers Git (apache-airflow-providers-git)におけるエンティティ認証のない鍵交換に関する脆弱性
タイトル Apache Software FoundationのApache Airflow Providers Git (apache-airflow-providers-git)におけるエンティティ認証のない鍵交換に関する脆弱性
概要

Apache AirflowのGitプロバイダーはデフォルトで`StrictHostKeyChecking=no`の設定でgit-over-SSH操作を実行しており、SSHホストキーの検証を無効化しています。AirflowワーカーとGitサーバー間のネットワーク経路を傍受可能な攻撃者は、サーバーになりすます(中間者攻撃)ことができ、SSHデプロイキーを盗むか悪意のあるリポジトリ内容を注入する可能性があります。Git DAGバンドルまたはGitプロバイダーを用いてSSH経由でデプロイキーを使ってクローンを行うデプロイメントが影響を受けます。修正ではデフォルト設定をホストキーを検証するように変更しています。apache-airflow-providers-gitの`0.4.1`以降にアップグレードし、`known_hosts`ファイルを設定してください。

想定される影響 ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアが完全に停止する可能性があります。 
対策

ベンダ情報を参照して適切な対策を実施してください。

公表日 2026年7月13日0:00
登録日 2026年7月14日20:39
最終更新日 2026年7月14日20:39
CVSS3.0 : 重要
スコア 8.1
ベクター CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
影響を受けるシステム
Apache Software Foundation
Apache Airflow Providers Git (apache-airflow-providers-git) 0.4.1 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
1 [2026年07月14日]
  掲載
2026年7月14日20:39

NVD脆弱性情報
CVE-2026-58065
概要

The Apache Airflow Git provider runs its git-over-SSH operations with `StrictHostKeyChecking=no` by default, disabling SSH host-key verification. An attacker who can intercept the network path between an Airflow worker and the Git server can impersonate the server (man-in-the-middle), capturing the SSH deploy key or injecting malicious repository content. Deployments that use the Git DAG bundle or Git provider to clone over SSH with a deploy key are affected. The fix changes the default to verify host keys; upgrade to apache-airflow-providers-git `0.4.1` or later and configure a `known_hosts` file.

公表日 2026年7月14日1:16
登録日 2026年7月14日4:18
最終更新日 2026年7月14日23:16
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:apache:apache-airflow-providers-git:*:*:*:*:*:*:*:* 0.4.1
関連情報、対策とツール
共通脆弱性一覧