製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

Apache Software FoundationのApache Airflowにおけるアクセス制御の不十分な粒度に関する脆弱性

タイトル	Apache Software FoundationのApache Airflowにおけるアクセス制御の不十分な粒度に関する脆弱性
概要	アセット依存関係グラフはビューアのDAG読み取り権限によってノードを制限していませんでした。そのため、少なくとも1つのDAGに読み取りアクセス権を持つユーザーは、展開内の他の任意のアセットのアセットグラフを閲覧でき、許可されていない範囲外のDAGおよびアセットの存在と名前を知ることができました。ユーザーはこの問題を修正したバージョン3.2.1にアップグレードすることを推奨します。
想定される影響	当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。また、当該ソフトウェアが扱う情報について、書き換えは発生しません。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年4月24日0:00
登録日	2026年4月28日10:12
最終更新日	2026年4月28日10:12

CVSS3.0 : 警告
スコア	4.3
ベクター	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

影響を受けるシステム

Apache Software Foundation

Apache Airflow 3.2.1 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-40690	https://www.cve.org/CVERecord?id=CVE-2026-40690
National Vulnerability Database (NVD)
2	CVE-2026-40690	https://nvd.nist.gov/vuln/detail/CVE-2026-40690
Pony Mail
3	CVE-2026-40690: Apache Airflow: Assets graph view bypasses DAG level access control displaying unrelated topologies and all DAGs names to unauthorized users-Apache Mail Archives	https://lists.apache.org/thread/bqt7y4g2cpj396b0sd20lv510ff19ndl

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-1220	https://cwe.mitre.org/data/definitions/1220.html

ベンダー情報

No	名前	URL
Openwall mailing list archives
1	oss-security - CVE-2026-40690: Apache Airflow: Assets graph view bypasses DAG level access control displaying unrelated topologies and all DAGs names to unauthorized users	http://www.openwall.com/lists/oss-security/2026/04/24/4

その他

No	名前	URL
関連文書
1	Fix asset graph view leaking DAGs outside the user's permissions by potiuk Pull Request #65273 apache/airflow GitHub	https://github.com/apache/airflow/pull/65273

変更履歴

No	変更内容	変更日
1	[2026年04月28日] 掲載	2026年4月28日10:12

NVD脆弱性情報

CVE-2026-40690

概要	The asset dependency graph did not restrict nodes by the viewer's DAG read permissions: a user with read access to at least one DAG could browse the asset graph for any other asset in the deployment and learn the existence and names of DAGs and assets outside their authorized scope. Users are recommended to upgrade to version 3.2.1, which fixes this issue.
公表日	2026年4月24日22:16
登録日	2026年4月25日4:07
最終更新日	2026年4月27日21:24

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:apache:airflow::::::::					3.2.1

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/apache/airflow/pull/65273	security@apache.org
2	https://lists.apache.org/thread/bqt7y4g2cpj396b0sd20lv510ff19ndl	security@apache.org
3	http://www.openwall.com/lists/oss-security/2026/04/24/4	af854a3a-2127-422b-91ae-364da2661108

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-1220	アクセス制御の不十分な粒度	https://cwe.mitre.org/data/definitions/1220.html