CVE-2026-41017: Sårbarhed i Apache Airflow 3.x
En fejl i Apache Airflow sender login-cookies usikkert, så angribere på samme netværk kan stjæle adgang til dit workflow-system.
Hvad er det?
Apache Airflow er et populært system til at automatisere og planlægge dataopgaver. Når du logger ind, får din browser en cookie (en lille tekstfil), der beviser din identitet. Denne cookie bør kun sendes over krypterede forbindelser (HTTPS).
Fejlen består i, at Airflow ved en fejl ikke markerede denne cookie med Secure-flaget — en lille, men vigtig indstilling, der forhindrer browseren i at sende cookien over ukrypterede forbindelser. Det betyder, at en angriber under visse netværksforhold kan opsnappe cookien og bruge den til at logge ind som dig.
Hvem rammer det?
Sårbarheden rammer dig, hvis alle tre betingelser er opfyldt:
- Du kører Apache Airflow version 3.0.0 op til (men ikke inkl.) 3.2.2.
- Din Airflow-server sidder bag en reverse proxy (f.eks. nginx, Envoy eller en cloud-baseret load balancer), som håndterer HTTPS og videresender trafik internt som ukrypteret HTTP — den typiske opsætning i cloud-miljøer som AWS, Azure og Google Cloud.
- Dine brugere tilgår systemet fra netværk, hvor en angriber potentielt kan placere sig imellem brugeren og serveren (f.eks. offentligt Wi-Fi, et fælles kontornetværk eller et kompromitteret netværk).
Hvad kan ske?
En angriber, der befinder sig på samme netværk som en af dine medarbejdere, kan lokke browserens til at sende login-cookien over en ukrypteret forbindelse og dermed opsnappe den. Med cookien i hånden kan angriberen:
- Logge ind i Airflow som den pågældende medarbejder uden at kende adgangskoden.
- Se og eksportere følsomme data, konfigurationer og forbindelsesnøgler gemt i systemet.
- Ændre, afbryde eller misbruge automatiserede dataprocesser og pipelines.
Bemærk: Angrebet kræver, at angriberen aktivt er placeret på netværket — det kan ikke gennemføres direkte fra internettet uden yderligere adgang.
Hvor alvorligt er det?
Sårbarheden er vurderet til moderat (CVSS 5.9 ud af 10). Den høje score på fortrolighed betyder, at en vellykket udnyttelse giver fuld adgang til sessionen — men den høje angrebskompleksitet trækker ned, fordi angriberen skal befinde sig aktivt på netværket.
For en typisk SMV med medarbejdere der arbejder hjemmefra, på café eller via offentligt Wi-Fi, er risikoen reel og bør tages alvorligt. Airflow indeholder ofte følsomme API-nøgler, databaseadgange og forretningskritiske automatiseringer.
Hvad gør jeg nu?
Følg disse trin for at beskytte din virksomhed:
- Tjek din version: Find ud af hvilken version af Apache Airflow I kører. Spørg din IT-ansvarlige eller leverandør, hvis du er usikker.
- Opdatér til version 3.2.2 eller nyere: Dette er den eneste komplette løsning. Opdateringen lukker fejlen ved at tilføje det manglende Secure-flag på cookien.
- Midlertidig afhjælpning (hvis opdatering ikke er mulig med det samme): Konfigurér din reverse proxy (nginx, Envoy o.lign.) til at afvise alle ukrypterede HTTP-forespørgsler og tvinge omdirigering til HTTPS, så cookies aldrig kan rejse ukrypteret.
- Begræns netværksadgang: Overvej at sætte Airflow bag et VPN, så kun autoriserede medarbejdere kan tilgå systemet — dette reducerer risikoen for netværksbaserede angreb markant.
- Gennemgå adgangslogge: Tjek om der har været mistænkelige login-hændelser i Airflow den seneste tid.
Opdatér inden for 14 dage
Vi anbefaler, at du opdaterer Apache Airflow til version 3.2.2 hurtigst muligt — helst inden for de næste to uger. Angrebet kræver netværksadgang, men da mange medarbejdere arbejder fra offentlige netværk eller hjemmenetværk, er risikoen konkret. Hvis en øjeblikkelig opdatering ikke er mulig, så implementér den midlertidige afhjælpning med HTTPS-tvang i din proxy, og placer Airflow bag et VPN som ekstra sikkerhedslag.
Tidslinje
Konkrete eksempler
Angreb via offentligt Wi-Fi på café
En medarbejder logger ind på virksomhedens Airflow-system via et offentligt Wi-Fi-netværk på en café. En angriber på samme netværk opsætter et enkelt script, der lokker brugerens browser til at sende en ukrypteret HTTP-forespørgsel til Airflow-domænet. Browseren sender automatisk login-cookien med i forespørgslen, og angriberen opsnapper den. Herefter logger angriberen ind i Airflow med medarbejderens rettigheder og eksporterer gemte databaseforbindelsesnøgler.
Kompromitteret hjemmerouter
En medarbejder arbejder hjemmefra via en router med svag sikkerhed, som en angriber har kompromitteret. Angriberen kan nu se al trafik fra hjemmenettets enheder. Når medarbejderen besøger et website med en HTTP-ressource (f.eks. et billede fra en ukrypteret kilde), udnytter angriberen dette til at indfange Airflow-sessionscookien, der sendes usikkert. Med cookien kan angriberen overtage sessionen og manipulere med virksomhedens automatiserede dataprocesser.
Ondsindet captive portal på hotel
En medarbejder tilslutter sig hotellets Wi-Fi, der kræver accept via en captive portal (den webside, man skal klikke ‘Acceptér’ på for at komme på nettet). En angriber, der kontrollerer portalen, kan injicere en skjult HTTP-forespørgsel til Airflow-domænet i portalens svarside. Medarbejderens browser sender ubevidst login-cookien, og angriberen opsnapper den — alt mens medarbejderen blot tror, de er ved at logge på hotellets internet.
Ofte stillede spørgsmål
Skal vi være bange for, at vi allerede er blevet hacket?
Der er ikke kendskab til aktive angreb, der udnytter denne specifikke fejl. Det betyder dog ikke, at I er sikre — det betyder blot, at risikoen på nuværende tidspunkt er lavere end ved kendte aktive angreb. Gennemgå jeres Airflow-adgangslogge for mistænkelig aktivitet som en god foranstaltning.
Vi kører Airflow i skyen (AWS/Azure/GCP) — er vi særligt udsatte?
Ja, faktisk. Cloud-native opsætninger med en load balancer foran Airflow er præcis den topologi, der beskrives som sårbar. Det skyldes, at cloud load balancere typisk terminerer HTTPS og sender trafik videre internt som ukrypteret HTTP. Opdatér til 3.2.2 eller tving HTTPS i jeres load balancer-konfiguration.
Hvad er en 'Secure cookie', og hvorfor er den vigtig?
En Secure cookie er en cookie, som browseren kun sender afsted, når forbindelsen er krypteret (HTTPS). Uden dette flag risikerer browseren at sende cookien over en ukrypteret forbindelse, hvis den tilgår samme hjemmeside via HTTP — og det kan en angriber udnytte til at opsnappe den. Tænk på det som at sende dit husnøgle-duplikat med almindelig post i stedet for anbefalet brev.
Vi har ikke selv en IT-afdeling — hvem hjælper os med opdateringen?
Kontakt den leverandør eller konsulent, der har opsat jeres Airflow-installation. Vis dem dette advisory og bed dem bekræfte hvilken version I kører, og om I er sårbare. Opdateringen i sig selv er teknisk, men burde være relativt hurtig for en erfaren driftsperson.
Er det nok at bruge VPN?
Et VPN reducerer risikoen markant, fordi det forhindrer uautoriserede brugere i overhovedet at nå Airflow-serveren. Men VPN er ikke en komplet løsning på denne sårbarhed — det er et supplement. Den eneste fuldstændige løsning er at opdatere til version 3.2.2.
Ramte produkter
Apache — Airflow
≥ 3.0.0, < 3.2.2
CVSS-detaljer
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Apache Airflow’s `JWTRefreshMiddleware` set the JWT auth cookie without the `Secure` flag, so deployments running the Airflow API server behind an HTTPS-terminating reverse proxy (e.g. nginx / Envoy / a managed load balancer that terminates TLS and forwards plaintext to the API server, the default cloud-native topology) would have the user’s session JWT replayed over any cleartext HTTP request to the same host. A network-positioned attacker (Wi-Fi MITM, hostile LAN, captive-portal proxy) could induce a logged-in user’s browser to issue an HTTP request to the deployment’s hostname and capture the JWT cookie out of that request, then replay it against the authenticated API. Affects deployments where the Airflow API server is reached through a TLS-terminating proxy and the cookie’s secure-by-default protection is load-bearing for session integrity. Users are advised to upgrade to `apache-airflow` 3.2.2 or later.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
