JVN iPedia
http://jvndb.jvn.jp
Advisory
JVNDB-2026-006866
Apache Software FoundationのAirflow Providers Httpにおける動的に操作されるコードリソースの不適切な制御に関する脆弱性
DBにアクセスできるユーザーが、Triggerer上でコードを実行させるデータベースエントリを作成できる可能性があります。これにより、DBにアクセスできる誰もがDag Authorと同じ権限を持つことになります。Airflowでは直接DBアクセスは通常推奨されていないため、実際に被害が発生する可能性は低いです。リスクを回避するために、プロバイダーのバージョン6.0.0にアップグレードすることを推奨します。
cpe:/a:apache:airflow_providers_http
https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-006866.html
Common Vulnerabilities and Exposures (CVE)
CVE-2025-69219
https://www.cve.org/CVERecord?id=CVE-2025-69219
National Vulnerability Database (NVD)
CVE-2025-69219
https://nvd.nist.gov/vuln/detail/CVE-2025-69219
関連文書
CVE-2025-69219: Apache Airflow Providers Http: Unsafe Pickle Deserialization in apache-airflow-providers-http leading to RCE via HttpOperator-Apache Mail Archives
https://lists.apache.org/thread/zjkfb2njklro68tqzym092r4w65m5dq0
JVNDB
CWE-913
動的に操作されるコードリソースの不適切な制御
https://cwe.mitre.org/data/definitions/913.html
Openwall mailing list archives
oss-security - CVE-2025-69219: Apache Airflow Providers Http: Unsafe Pickle Deserialization in apache-airflow-providers-http leading to RCE via HttpOperator
http://www.openwall.com/lists/oss-security/2026/03/09/1
関連文書
Replace pickle with json serialization for http triggers by amoghrajesh Pull Request #61662 apache/airflow GitHub
https://github.com/apache/airflow/pull/61662
2026-03-12T12:13:24+09:00
2026-03-12T12:13:24+09:00