Giảng viên Nguyễn Anh Bình, Khoa An toàn thông tin Trường Đại học FPT, đã phát hiện một lỗ hổng bảo mật trong Apache Airflow - nền tảng mã nguồn mở được sử dụng rộng rãi trong các hệ thống xử lý và điều phối dữ liệu của Google, PayPal… Đây là lỗ hổng nghiêm trọng, có thể bị lợi dụng để truy cập vào dữ liệu và chức năng bí mật của hệ thống. 

Sau khi nhận báo cáo lỗ hổng từ giảng viên FPT, tổ chức phát triển Apache Airflow đã tiếp nhận và xử lý, kịp thời ngăn chặn rủi ro về tấn công bảo mật dữ liệu. 

Chi tiết https://www.cve.org/CVERecord?id=CVE-2026-32690

Updated:

Description

Secrets in Variables saved as JSON dictionaries were not properly redacted - in case thee variables were retrieved by the user the secrets stored as nested fields were not masked. If you do not store variables with sensitive values in JSON form, you are not affected. Otherwise please upgrade to Apache Airflow 3.2.0 that has the fix implemented

Product Status

Learn more

Versions 1 Total

Default Status: unaffected

affected

  • affected from 3.0.0 before 3.2.0 

Credits

  • Nguyen Anh Binh [IA Lab – FPT University] finder
  • Kevin Yang remediation developer