vs gauge
区分
JVN番号
タイトル
JVN
深刻度
最終更新日
CVE番号
New
JVNDB-2026-023673

Apache Software FoundationのApache Airflow Providers Git (apache-airflow-providers-git)におけるエンティティ認証のない鍵交換に関する脆弱性

8.1
2026/07/14 20:39
CVE-2026-58065
JVNDB-2026-023673
Apache Software FoundationのApache Airflow Providers Git (apache-airflow-providers-git)におけるエンティティ認証のない鍵交換に関する脆弱性
概要
Apache AirflowのGitプロバイダーはデフォルトで`StrictHostKeyChecking=no`の設定でgit-over-SSH操作を実行しており、SSHホストキーの検証を無効化しています。AirflowワーカーとGitサーバー間のネットワーク経路を傍受可能な攻撃者は、サーバーになりすます(中間者攻撃)ことができ、SSHデプロイキーを盗むか悪意のあるリポジトリ内容を注入する可能性があります。Git DAGバンドルまたはGitプロバイダーを用いてSSH経由でデプロイキーを使ってクローンを行うデプロイメントが影響を受けます。修正ではデフォルト設定をホストキーを検証するように変更しています。apache-airflow-providers-gitの`0.4.1`以降にアップグレードし、`known_hosts`ファイルを設定してください。
想定される影響と対策
・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアが完全に停止する可能性があります。
ベンダ情報を参照して適切な対策を実施してください。
JVN情報 ※( )内はCVSS v2の値
深刻度 8.1
CVECVE-2026-58065
公表日2026/07/13 00:00
登録日2026/07/14 20:39
更新日2026/07/14 20:39
CVSS v3情報
全ての情報を閲覧するにはユーザー登録(無料)またはログインが必要です。