NVD脆弱性詳細

CVE-2026-45361

概要	Apache Airflow providers-google's `ComputeEngineSSHHook` disables SSH host-key verification by default, exposing SSH traffic between an Airflow worker and a Compute Engine VM to in-path network attackers who can intercept or modify the session. Users are advised to upgrade to `apache-airflow-providers-google` 22.0.0 or later.
公表日	2026年5月25日19:16
登録日	2026年5月27日4:07
最終更新日	2026年6月2日2:17

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:apache:apache-airflow-providers-google::::::::					22.0.0

関連情報、対策とツール

No	URL	refsource
1	https://github.com/apache/airflow/pull/66746	security@apache.org
2	https://lists.apache.org/thread/3lpj7ppwxp7jtp81rnxk75xvln7qd7h2?users@airflow.apache.org	security@apache.org
3	http://www.openwall.com/lists/oss-security/2026/05/24/9	af854a3a-2127-422b-91ae-364da2661108

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-322	エンティティ認証のない鍵交換	https://cwe.mitre.org/data/definitions/322.html
2	CWE-322	エンティティ認証のない鍵交換	https://cwe.mitre.org/data/definitions/322.html

JVN脆弱性情報

Apache Software Foundationのapache-airflow-providers-googleにおけるエンティティ認証のない鍵交換に関する脆弱性

タイトル	Apache Software Foundationのapache-airflow-providers-googleにおけるエンティティ認証のない鍵交換に関する脆弱性
概要	Apache Airflowのproviders-googleの`ComputeEngineSSHHook`は、デフォルトでSSHホストキーの検証を無効にしており、これによりAirflowワーカーとCompute Engine VM間のSSHトラフィックが、中間者攻撃者によって傍受または改ざんされる可能性があります。ユーザーは`apache-airflow-providers-google`をバージョン22.0.0以上にアップグレードすることを推奨します。
想定される影響	・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。・当該ソフトウェアが完全に停止する可能性があります。
対策	ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年5月25日0:00
登録日	2026年5月29日11:16
最終更新日	2026年5月29日11:16

影響を受けるシステム

Apache Software Foundation

apache-airflow-providers-google 22.0.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-45361	https://www.cve.org/CVERecord?id=CVE-2026-45361
National Vulnerability Database (NVD)
2	CVE-2026-45361	https://nvd.nist.gov/vuln/detail/CVE-2026-45361
Pony Mail
3	CVE-2026-45361: Apache Airflow Google provider: SSH host key verification disabled in ComputeEngineSSHHook (paramiko AutoAddPolicy default)-Apache Mail Archives	https://lists.apache.org/thread/3lpj7ppwxp7jtp81rnxk75xvln7qd7h2

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-322	https://cwe.mitre.org/data/definitions/322.html

ベンダー情報

No	名前	URL
Openwall mailing list archives
1	oss-security - CVE-2026-45361: Apache Airflow Google provider: SSH host key verification disabled in ComputeEngineSSHHook (paramiko AutoAddPolicy default)	http://www.openwall.com/lists/oss-security/2026/05/24/9

その他

No	名前	URL
関連文書
1	Add `host_key_policy` option to `ComputeEngineSSHHook` by potiuk Pull Request #66746 apache/airflow GitHub	https://github.com/apache/airflow/pull/66746

変更履歴

No	変更内容	変更日
1	[2026年05月29日] 掲載	2026年5月29日11:16