Apache ha publicado actualizaciones de seguridad para Apache Airflow, corrigiendo múltiples vulnerabilidades que podrían permitir la exposición de información sensible a través de los registros del sistema y la interfaz web.
Estas fallas permiten que credenciales, contraseñas o tokens sean mostrados en texto claro debido a un enmascaramiento insuficiente en logs y plantillas renderizadas, incluso sin requerir privilegios elevados. Las vulnerabilidades afectan a varias versiones de Apache Airflow y representan un riesgo para la confidencialidad de la información.
CVE y severidad
| ID CVE | Versiones Afectadas | Severidad | Método de exposición |
|---|---|---|---|
| CVE-2025-68675 | <3.1.6 | Baja | Registros de tareas |
| CVE-2025-68438 | 3.1.0 – 3.1.6 | Baja | Interfaz Rendered Templates UI |
Productos afectados
Apache Airflow versiones anteriores a la 3.1.6.
Solución
Actualizar a Apache Airflow versión 3.1.6.
Recomendaciones
Priorizar la actualización inmediata a la versión corregida; en entornos donde no sea posible, restringir el acceso a los sistemas de registros y a la interfaz web para mitigar temporalmente la exposición.