CVE-2026-41018Apache Airflow 的 Elasticsearch 日志提供程序存在一个信息泄露漏洞。当该提供程序配置了包含凭证(如用户名和密码)的主机 URL 时,它会将完整的 URL(包括凭证)写入任务日志中。任何拥有任务日志读取权限的用户都可以从日志中获取这些后端凭证,从而可能导致未授权访问。该漏洞的 CVSS 评分为 6.5,属于中危级别。攻击者无需复杂的交互即可利用此漏洞,主要影响数据的机密性。
该漏洞的根源在于 Apache Airflow 的 Elasticsearch 日志提供程序在处理连接配置时缺乏对敏感信息的过滤机制。当管理员为了配置方便,直接在 `[elasticsearch]` 主机配置项中使用了包含明文凭据的 URL(例如 `https://user:[email protected]:9200`)时,Airflow 在生成任务日志的过程中,会将该配置对象直接序列化或记录,导致凭证被硬编码写入日志文件。攻击者利用此漏洞的前提条件是必须拥有读取目标任务日志的权限(通常是 Airflow 平台上的普通用户权限)。一旦获取到日志访问权,攻击者只需检索日志内容,寻找包含 Elasticsearch 连接字符串的记录,即可通过正则匹配或简单字符串提取解析出用户名和密码。这违反了最小权限原则和凭证安全存储的最佳实践。由于凭证泄露,攻击者可以随后利用这些凭证直接连接 Elasticsearch 后端数据库,窃取或篡改存储在其中的敏感数据。