Các nhà bảo trì Apache Airflow đã công bố một lỗ hổng CVE nghiêm trọng, được theo dõi dưới mã CVE-2025-54831. Lỗ hổng này cho phép người dùng chỉ có quyền đọc có thể xem chi tiết kết nối nhạy cảm thông qua cả API Airflow và giao diện web.

Vấn đề này, tồn tại trong phiên bản Airflow 3.0.3, làm suy yếu cơ chế “ghi-chỉ-một-lần” (write-only) dự kiến của các bí mật trong Connections. Điều này có thể dẫn đến việc tiết lộ trái phép thông tin xác thực và các dữ liệu cấu hình bí mật khác.

Chi tiết Lỗ hổng CVE-2025-54831 trong Apache Airflow

Apache Airflow là một nền tảng điều phối quy trình công việc mã nguồn mở, được ứng dụng rộng rãi để lập lịch và giám sát các luồng dữ liệu. Nền tảng này đóng vai trò trung tâm trong nhiều môi trường dữ liệu doanh nghiệp.

Cơ chế bảo mật Connections dự kiến

Với sự ra mắt của Airflow 3.0.0, dự án đã giới thiệu một mô hình bảo mật chặt chẽ hơn cho thông tin nhạy cảm trong các đối tượng Connection. Mục tiêu là tăng cường khả năng bảo vệ các bí mật quan trọng.

Theo mô hình này, các trường như mật khẩu, token và khóa riêng tư được thiết kế để bị che giấu theo mặc định. Chúng chỉ được tiết lộ cho những người dùng có quyền chỉnh sửa Connection (quyền ghi) rõ ràng. Người dùng chỉ có quyền đọc bị hạn chế xem siêu dữ liệu không nhạy cảm.

Sai sót trong triển khai bảo mật

Tuy nhiên, một lỗi triển khai trong Airflow 3.0.3 đã vô tình cho phép người dùng chỉ có quyền đọc vẫn truy xuất được toàn bộ các giá trị nhạy cảm. Điều này đi ngược lại hoàn toàn với mục đích ban đầu của mô hình bảo mật mới.

Vấn đề này đã được báo cáo công khai trên danh sách gửi thư dành cho nhà phát triển bởi thành viên cộng đồng Kaxil Naik vào ngày 25 tháng 9 năm 2025. Sau đó, nó đã được gán mã CVE-2025-54831 với mức độ nghiêm trọng “Important”.

Thông tin chi tiết về báo cáo có thể được tìm thấy tại nguồn đáng tin cậy: Apache Airflow Developer Mailing List.

Phương thức khai thác và tác động của rò rỉ dữ liệu nhạy cảm

Trong Airflow 3.0.3, cả điểm cuối API để truy xuất chi tiết Connection và giao diện người dùng tương ứng đều bỏ qua cấu hình AIRFLOW__CORE__HIDE_SENSITIVE_VAR_CONN_FIELDS. Cấu hình này đáng lẽ phải đảm bảo các trường nhạy cảm được ẩn đi.

Khi cờ này được kích hoạt, nó có nhiệm vụ ẩn các trường như mật khẩu, host, port và các phần mở rộng tùy chỉnh trong phản hồi JSON và hiển thị trên giao diện người dùng. Tuy nhiên, trong phiên bản bị ảnh hưởng, chức năng này không được tôn trọng.

Kỹ thuật khai thác

Thay vào đó, người dùng chỉ có quyền đọc có thể thực hiện các yêu cầu HTTP GET tới điểm cuối sau:

/api/v1/connections/{connection_id}

Hoặc đơn giản là điều hướng đến trang chi tiết Connection trong giao diện web. Điều này cho phép họ xem các trường nhạy cảm này dưới dạng văn bản thuần túy, phá vỡ mọi kiểm soát bảo mật.

Các trường thông tin bị ảnh hưởng

Các yếu tố bị ảnh hưởng bao gồm, nhưng không giới hạn ở:

• Mật khẩu tài khoản dịch vụ hoặc cơ sở dữ liệu.
• Token xác thực và ủy quyền.
• Khóa riêng tư (private keys) cho các dịch vụ hoặc mã hóa.
• Thông tin xác thực cơ sở dữ liệu như tên người dùng, host, port.
• Thông tin xác thực dịch vụ đám mây (ví dụ: AWS access keys, Azure secrets, GCP service account keys).
• API keys và các bí mật khác được lưu trữ trong Connection extras.

Rủi ro bảo mật và hậu quả

Do Airflow Connections thường được sử dụng để lưu trữ thông tin xác thực dịch vụ có đặc quyền cao, việc truy cập đọc trái phép này gây ra một rủi ro đáng kể. Đây là một vấn đề nghiêm trọng có thể dẫn đến hậu quả nặng nề.

Một kẻ tấn công hoặc nội gián với vai trò chỉ đọc có thể đánh cắp các khóa tài khoản dịch vụ, thông tin xác thực đám mây hoặc khóa mã hóa. Điều này có khả năng làm tổn hại đến các quy trình làm việc hạ nguồn, kho dữ liệu hoặc toàn bộ môi trường đám mây. Sự cố này gây ra một nguy cơ lớn về rò rỉ dữ liệu nhạy cảm.

Mặc dù lỗ hổng CVE này không cho phép sửa đổi cấp độ ghi hoặc thực thi mã từ xa (RCE), nhưng việc tiết lộ thông tin xác thực có thể tạo điều kiện cho các hành vi tấn công khác. Cụ thể, nó có thể hỗ trợ di chuyển ngang (lateral movement), leo thang đặc quyền (privilege escalation) và trích xuất dữ liệu (data exfiltration) trong một môi trường bị xâm nhập.

Kẻ tấn công có thể tận dụng các khóa bị lộ để xâm nhập vào cơ sở dữ liệu sản xuất, dịch vụ đám mây và kho bí mật mà không kích hoạt các dấu vết kiểm toán tiêu chuẩn cho việc lạm dụng thông tin xác thực. Điều này khiến việc phát hiện và phản ứng trở nên khó khăn hơn.

Các tổ chức thực thi kiểm soát truy cập dựa trên vai trò (RBAC) nghiêm ngặt trong Airflow, cấp quyền đọc cho một lượng lớn người dùng, đặc biệt có nguy cơ cao. Các nhóm sử dụng triển khai Airflow chia sẻ hoặc tự host trong các thiết lập đa người thuê nên xem lỗ hổng CVE này như một sai sót nghiêm trọng trong các đảm bảo bảo mật của nền tảng.

Các phiên bản bị ảnh hưởng và giải pháp cập nhật bản vá

Phiên bản Airflow 3.0.3 là phiên bản duy nhất bị ảnh hưởng bởi lỗ hổng CVE-2025-54831 này. Các bản phát hành Airflow 2.x không bị ảnh hưởng. Điều này là do các phiên bản đó không triển khai mô hình che giấu ghi-chỉ-một-lần mới và từ lâu đã cho phép các bí mật kết nối hiển thị với người chỉnh sửa theo thiết kế.

Khuyến nghị cập nhật bản vá ngay lập tức

Dự án Apache Airflow đã khắc phục vấn đề này trong phiên bản 3.0.4. Bản vá này đã củng cố hành vi che giấu ghi-chỉ-một-lần và khôi phục sự tuân thủ cấu hình AIRFLOW__CORE__HIDE_SENSITIVE_VAR_CONN_FIELDS. Tất cả người dùng của Airflow 3.0.3 được khuyến nghị mạnh mẽ nâng cấp ngay lập tức.

Biện pháp tạm thời

Các nhà vận hành không thể áp dụng bản nâng cấp ngay lập tức có thể triển khai một biện pháp khắc phục tạm thời. Điều này bao gồm việc triển khai một proxy hoặc API gateway phía trước máy chủ web Airflow.

Proxy này nên lọc bỏ hoặc che giấu các trường JSON nhạy cảm trên các điểm cuối /api/v1/connections/*. Ngoài ra, hãy đảm bảo rằng biến môi trường sau được đặt trong cấu hình Airflow của bạn:

AIRFLOW__CORE__HIDE_SENSITIVE_VAR_CONN_FIELDS=True

Tuy nhiên, ngay cả khi cờ này được đặt, việc nâng cấp lên Airflow 3.0.4 vẫn là giải pháp duy nhất được đảm bảo và hiệu quả nhất để khắc phục hoàn toàn lỗ hổng CVE này.

Hành động bảo mật và phòng ngừa

CVE-2025-54831 nhấn mạnh sự phức tạp cố hữu của việc bảo mật các bí mật trong các nền tảng điều phối quy trình công việc. Khi việc áp dụng Airflow ngày càng tăng trong các nhóm dữ liệu, việc duy trì tính bảo mật của thông tin xác thực dịch vụ trở nên tối quan trọng.

Các quản trị viên nên nhanh chóng nâng cấp lên Airflow 3.0.4, kiểm toán các chính sách kiểm soát truy cập dựa trên vai trò (RBAC) của họ. Đồng thời, họ cần xem xét bất kỳ hệ thống hạ nguồn nào được truy cập thông qua các kết nối bị lộ để giảm thiểu nguy cơ bị xâm phạm tiềm ẩn. Sự cảnh giác và quản lý bản vá kịp thời vẫn là biện pháp phòng thủ tốt nhất chống lại các trường hợp rò rỉ dữ liệu nhạy cảm như vậy.