(Bild: Artur Szczybylo/Shutterstock.com). In Apache Airflow CNCF Kubernetes Provider und Apache Airflow Amazon Provider haben die Entwickler jeweils eine Sicherheitslücke geschlossen.. Die Apache-Airflow-Komponenten CNCF Kubernetes Provider und Amazon Provider sind verwundbar. Nach erfolgreichen Attacken können Angreifer unter anderem auf die Datenbank zugreifen.. Die Sicherheitslücken. Wie aus zwei Beiträgen auf der Mailingliste Seclists.org hervorgeht, haben die Entwickler die Schwachstellen in CNCF Kubernetes Provider 10.17.0 (CVE-2026-27173 [1] „hoch“) und Amazon Provider 9.28.0 (CVE-2026-42526 [2] „mittel“) geschlossen.. Im ersten Fall sind JWT-Tokens fehlerhaft, sodass Nutzer mit Lesezugriff manipulierend auf die Airflow-Datenbank zugreifen können. Im zweiten Fall sind unbefugte Zugriffe auf Geheimnisse anderer Teams möglich.. Bislang gibt es seitens der Softwareentwickler keine Warnung vor bereits laufenden Attacken. Zuletzt wurden im April Schwachstellen in Apache Airflow und Airflow Keycloak bekannt [3] – Angreifer hätten verwundbare Systeme dadurch vollständig kompromittieren können.. (des [5]). URL dieses Artikels:. https://www.heise.de/-11303487. Links in diesem Artikel:. https://seclists.org/oss-sec/2026/q2/607. https://seclists.org/oss-sec/2026/q2/608. https://www.heise.de/news/Schadcode-Schlupfloecher-bedrohen-Apache-Airflow-und-Airflow-Keycloak-11268021.html. https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp. mailto:des@heise.de. Copyright © 2026 Heise Medien
heise security News