CVE-2025-68438

Опубликовано: 16 янв. 2026

Источник: nvd

CVSS3: 7.5

EPSS Низкий

Описание

In Apache Airflow versions before 3.1.6, when rendered template fields in a Dag exceed [core] max_templated_field_length, sensitive values could be exposed in cleartext in the Rendered Templates UI. This occurred because serialization of those fields used a secrets masker instance that did not include user-registered mask_secret() patterns, so secrets were not reliably masked before truncation and display.

Users are recommended to upgrade to 3.1.6 or later, which fixes this issue

Ссылки

https://lists.apache.org/thread/55n7b4nlsz3vo5n4h5lrj9bfsk8ctyff
Mailing List
Vendor Advisory
http://www.openwall.com/lists/oss-security/2026/01/15/5
Mailing List
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:apache:airflow:*:*:*:*:*:*:*:*

Версия от 3.1.0 (включая) до 3.1.6 (исключая)

EPSS

Процентиль: 6%

0.00022

Низкий

7.5 High

CVSS3

Дефекты

CWE-200

Связанные уязвимости

CVE-2025-68438

CVSS3: 7.5

debian

3 месяца назад

In Apache Airflow versions before 3.1.6, when rendered template fields ...

GHSA-3qmm-r55x-hpxx

CVSS3: 7.5

github

3 месяца назад

Apache Airflow secrets in rendered templates could contain parts of sensitive values when truncated

BDU:2026-00683

CVSS3: 7.5

fstec

3 месяца назад

Уязвимость функции mask_secret() сетевого программного средства Apache Airflow, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

EPSS

Процентиль: 6%

0.00022

Низкий

7.5 High

CVSS3

Дефекты

CWE-200