CVE詳細 - CVE-2020-13927-

CVE-2020-13927 の詳細

CVEの情報

説明:
The previous default setting for Airflow's Experimental API was to allow all API requests without authentication, but this poses security risks to users who miss this fact. From Airflow 1.10.11 the default has been changed to deny all requests by default and is documented at https://airflow.apache.org/docs/1.10.11/security.html#api-authentication. Note this change fixes it for new installs but existing users need to change their config to default `[api]auth_backend = airflow.api.auth.backend.deny_all` as mentioned in the Updating Guide: https://github.com/apache/airflow/blob/1.10.11/UPDATING.md#experimental-api-will-deny-all-request-by-default

CVE更新日: 2020-11-10 16:15:11.807000

CVSSバージョン: 3.1

CVSSスコア: 9.8

KEVの情報

KEV更新日: 2022-01-18

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST（Forum of Incident Response and Security Teams）が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.941040000

EPSS更新日: 2026-06-01 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation（悪用状況）、Technical Impact（技術的影響）、Automatable（自動攻撃の可否）を判定します。

Exploitation: active

Technical Impact: high

Automatable: True

AIを使った解説

解説:

CVE-2020-13927について、以下の観点で解説します。

1. 脆弱性の概要

Apache AirflowのExperimental APIに認証バイパスの脆弱性（CVE-2020-13927）が存在します。これは、Experimental APIの以前のデフォルト設定が、認証なしで全てのAPIリクエストを許可していたことに起因します。この設定により、認証されていないリモートの攻撃者がAPIエンドポイントにアクセスし、機微なデータへの不正アクセスや、管理操作、さらに任意のコード実行に至る可能性があります。

1.1 影響

認証されていないリモートの攻撃者がApache AirflowのExperimental APIにアクセスし、認証を必要とするはずのAPIエンドポイントを操作できるようになります。これにより、管理操作の実行や、潜在的に影響を受けるシステム上での任意のコード実行が可能となります。

1.2 深刻度

CVSSv3スコアは9.8 (緊急)、CVSSv2スコアは7.5 (危険)と評価されています。このCVEは、CISAのKnown Exploited Vulnerabilitiesカタログにも追加されており、実際に悪用されていることが知られています。

2. 対象となる環境

2.1 影響を受けるOSバージョン

本脆弱性はApache Airflowアプリケーションの脆弱性であり、特定のOSバージョンに依存するものではありません。

2.2 影響を受ける設定

対象製品: Apache Airflow
対象バージョン: Apache Airflow バージョン 1.10.11より前の全て
影響を受ける設定:
- Apache Airflow Experimental APIのデフォルト設定で、[api]auth_backend パラメータが認証なしで全てのAPIリクエストを許可している場合。
- load_examples = True の設定が有効になっている場合、CVE-2020-11978と組み合わせてリモートコード実行に繋がる可能性があります。

3. 影響を受けた時の兆候

明確なログエントリやエラーメッセージは示されていませんが、以下のような兆候が考えられます。 * Apache Airflow Experimental APIを介した、予期しない管理操作やタスクの実行。 * 認証なしでのAPIアクセスが成功している形跡。

4. 推奨対策

4.1 本対策

Apache Airflowをバージョン1.10.11以降にアップグレードしてください。

4.2 暫定回避策（緩和策）

既存のインストール環境では、設定ファイル (airflow.cfg) を更新し、[api]auth_backend = airflow.api.auth.backend.deny_all を設定するか、適切な認証バックエンドを実装してExperimental APIに認証を適用してください。
Experimental APIが不要な場合は、無効にしてください。
ネットワークレベルのアクセス制御（例：ファイアウォールルール）を実装し、Airflowへのアクセスを信頼できるネットワークのみに制限してください。
Airflow 2.0以降で利用可能な、適切な認証・認可制御が組み込まれた安定版REST APIへの移行を検討してください。
load_examples=True の設定が有効な場合は、無効にしてください。

不明点

この脆弱性が悪用された際の、特定のログメッセージやエラーコードといった詳細な兆候については、情報が見つかりませんでした。

他に解説すべき観点

CISAの既知の悪用されている脆弱性カタログ (Known Exploited Vulnerabilities Catalog) への追加: この脆弱性はCISAによって「実際に悪用されている」と認識されており、組織は直ちに対策を講じる必要があります。
複合的な悪用: CVE-2020-13927は、Apache Airflowに存在する別の脆弱性CVE-2020-11978（例示DAGにおけるRCE）と組み合わせることで、Apache Airflow 1.10.10において認証なしでのリモートコード実行（RCE）を可能にします。
CWE (共通脆弱性タイプ一覧): この脆弱性は、CWE-306 (Missing Authentication for Critical Function: 重要な機能に対する認証の欠如) および CWE-1188 (Insecure Default Resource Initialization: リソースの安全ではないデフォルト値への初期化) に分類されます。

参照したサイト

NVDサイト

NVDでCVEの詳細を見る

戻る