Kritična ranjivost u Apache Airflow Keycloak provajderu omogućava preuzimanje sesije
CVE-2026-40948: Ranjivost u Apache Airflow Keycloak provajderu dozvoljava preuzimanje sesije i krađenje kredencijala preko CSRF napada.
Šta se desilo?
Otkrivena je ozbiljna bezbednosna ranjivost u komponenti za Keycloak autentifikaciju Apache Airflow platforme. Greška u OAuth 2.0 implementaciji dozvoljava napadaču da izvršavanjem CSRF napada prisili žrtvu da se prijavi u napadačevu sesiju, nakon čega može pristupiti svim čuvanim kredencijalima u Airflow konekcijama.
Koga pogađa?
Ugroženi su svi korisnici Apache Airflow platforme koji koriste Keycloak autentifikaciju za logovanje, posebno organizacije sa više korisnika koji dele Keycloak realm. Rizik je veći ako napadač već ima Keycloak nalog u istoj domeni.
Kako se zaštititi?
- Odmah ažuriraj apache-airflow-providers-keycloak paket na verziju 0.7.0 ili noviju
- Ako ažuriranje nije moguće, onemogući Keycloak autentifikaciju dok se ispravka ne primeni
- Proveri sve aktivne sesije u Airflow-u i zahtevaj od korisnika da promene lozinke i ključeve pristupa
- Redovno prati logove Airflow-a za sumnjive aktivnosti
- Preispitaj pristupe skladištenim kredencijalima u Airflow konekcijama
Tehnički detalji
CVE-2026-40948 je rezultat nedoslednosti u OAuth 2.0 tokenu sa nedoslednim generisanjem ili validacijom state parametra tokom login/login-callback toka. Komponenta takođe ne koristi PKCE mehanizam zaštite. Napadač sa validnim Keycloak naloga može iskoristiti ovu grešku za session fixation napad.
Preporuka Sajber Radara
Organizacije koje koriste Apache Airflow sa Keycloak autentifikacijom trebaju da tretiraju ovu ranjivost kao hitnu i primene ispravku bez odlaganja. Do ažuriranja, preporuka je da se navedeni autentifikacioni metod privremeno deaktivira kako bi se sprečio neovlašćeni pristup osetljivim podacima.