Un fallo crítico en el mecanismo de autenticación de Apache Airflow, catalogado como vulnerabilidad CVE-2025-57735 Apache Airflow, permite a un atacante reutilizar tokens JWT válidos incluso después de que un usuario haya cerrado sesión. Este defecto, con una puntuación CVSS de 9.1, compromete directamente la confidencialidad e integridad de los flujos de trabajo orquestados por esta herramienta fundamental en la ingeniería de datos.
- Gravedad Crítica: Puntuación CVSS 9.1 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N).
- Componente afectado: Mecanismo de invalidación de tokens JWT (JSON Web Tokens) durante el logout.
- Versiones vulnerables: Todas las versiones de Apache Airflow anteriores a la 3.2.0.
- Solución: Actualización inmediata a Apache Airflow 3.2.0 o superior.
- Impacto: Permite la reutilización de credenciales interceptadas, facilitando el acceso no autorizado.
| CVE ID | CVE-2025-57735 |
| Severidad (CVSS) | 9.1 – CRÍTICA |
| Vector CVSS | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
| Productos afectados | Apache Airflow (versiones < 3.2.0) |
| Exploit público | No |
| Fecha publicación | 09 de abril de 2026 |
¿Qué es vulnerabilidad CVE-2025-57735 Apache Airflow y por qué es relevante?
Sistemas y versiones afectadas por CVE-2025-57735
🔬 ¿Cuántos puntos de entrada tiene tu empresa para un atacante? En Iberia Intelligence realizamos auditorías de seguridad y tests de intrusión con metodología ofensiva real: identificamos vulnerabilidades explotables antes de que lo haga un actor malicioso y entregamos un informe ejecutivo con prioridades de remediación.
La vulnerabilidad es inherente al código base de Apache Airflow y afecta exclusivamente a las implementaciones que utilizan autenticación basada en tokens JWT. Según el análisis de los commits de corrección, el fallo estaba presente desde la introducción de esta funcionalidad y no fue corregido hasta la versión principal 3.2.0. vulnerabilidad CVE-2025-57735 Apache Airflow es clave para entender el alcance de esta amenaza.
La siguiente tabla detalla el alcance preciso de la exposición:
| Producto | Versiones vulnerables | Versión parcheada |
|---|---|---|
| Apache Airflow | Todas las versiones anteriores a la 3.2.0 | Apache Airflow 3.2.0 y superiores |
Detalles técnicos de la vulnerabilidad JWT
El núcleo del problema reside en que el servidor de Apache Airflow no invalidaba el token JWT en el lado del servidor tras una solicitud de cierre de sesión (logout). Cuando un usuario se autentica, el servidor genera un JWT que se envía al cliente. Este token, que tiene un tiempo de validez (TTL), se utiliza para autorizar solicitudes posteriores.
En el flujo vulnerable, al cerrar sesión, el cliente simplemente descarta el token, pero el servidor no mantiene una lista de tokens revocados o no marca el token específico como inválido. Por lo tanto, si un atacante intercepta ese token (por ejemplo, a través de un ataque Man-in-the-Middle en una conexión no cifrada, o mediante el acceso a logs), puede reutilizarlo para autenticarse y realizar acciones con los privilegios del usuario original hasta que el token expire por sí mismo.
Este comportamiento anula por completo el propósito del cierre de sesión, que debería ser una acción inmediata de terminación de la sesión activa. La corrección, implementada en el pull request #56633, introduce un mecanismo de lista negra o invalidación activa de tokens en el servidor durante el logout.
Cómo parchear CVE-2025-57735: guía paso a paso
La remediación es directa y única: actualizar la instalación de Apache Airflow a la versión 3.2.0 o cualquier versión posterior estable. No existen workarounds oficiales que mitiguen completamente el riesgo sin aplicar el parche. A continuación, detallamos los pasos según el método de despliegue.
Actualización mediante pip (entornos Python estándar)
Para instalaciones realizadas con pip, el proceso implica verificar la versión actual y proceder con la actualización.
# 1. Verificar la versión actual de Airflow
airflow version
# 2. Actualizar Apache Airflow a la última versión 3.2.x
pip install --upgrade "apache-airflow>=3.2.0"
# 3. Verificar que la actualización fue exitosa
airflow version
# Debería mostrar una versión igual o superior a 3.2.0Actualización en entornos Docker y Kubernetes
Si utilizas contenedores Docker, debes modificar tu Dockerfile o la imagen referenciada en tus manifiestos de Kubernetes para apuntar a la versión parcheada.
Para una imagen oficial de Apache Airflow:
# En tu Dockerfile, cambia la etiqueta de la imagen
FROM apache/airflow:3.2.0
# O, si usas docker-compose, actualiza la etiqueta en el servicio:
# image: apache/airflow:3.2.0Tras cambiar la imagen, reconstruye y redespliega los contenedores. Es crítico realizar una copia de seguridad de tu base de datos de metadatos de Airflow (metadata database) antes de cualquier actualización mayor.
Paso crucial post-despliegue: Tras la actualización, el mecanismo de invalidación de JWT estará activo, pero recomendamos forzar un nuevo inicio de sesión para todos los usuarios. Esto generará nuevos tokens bajo el nuevo esquema seguro y anulará cualquier token antiguo que pudiera estar aún en circulación.
Medidas adicionales de mitigación
En escenarios donde la actualización inmediata no sea factible (por ejemplo, debido a dependencias de negocio críticas), se pueden implementar medidas compensatorias para reducir la superficie de ataque. No obstante, estas medidas no eliminan la vulnerabilidad y el parche sigue siendo obligatorio.
1. Rotación y reducción del tiempo de vida (TTL) de los tokens JWT: Configura un tiempo de expiración (exp) muy corto para los tokens JWT en la configuración de Airflow. Esto limita la ventana de tiempo en la que un token interceptado puede ser útil para un atacante.
# En airflow.cfg, sección [api]
auth_backend = airflow.api.auth.backend.basic_auth
# Ajustar el tiempo de expiración (ejemplo: 15 minutos)
jwt_exp = 152. Aislamiento de red y listas de control de acceso (ACL): Restringe el acceso a la interfaz web de Airflow y a su API únicamente a direcciones IP de confianza mediante reglas de firewall. Nunca expongas el panel de control de Airflow directamente a Internet.
3. Uso exclusivo de HTTPS (TLS): Asegúrate de que toda la comunicación con la instancia de Airflow esté cifrada con TLS 1.2 o superior. Esto mitiga la interceptación pasiva de tokens en tránsito.
4. Monitorización y detección de anomalías: Implementa reglas de SIEM o monitor de logs para detectar intentos de autenticación con tokens que tienen un timestampiat) muy antiguo o actividad de un mismo token desde múltiples direcciones IP de forma simultánea.
Impacto y riesgos asociados a la vulnerabilidad CVE-2025-57735
Desde la perspectiva de la gestión de riesgos, esta vulnerabilidad representa una amenaza alta para la confidencialidad y una amenaza crítica para la integridad. Un atacante que capture un token JWT (mediante técnicas como el sniffing de red, el acceso a sistemas cliente comprometidos o la filtración de logs) obtiene una llave persistente para el reino de Airflow.
Las consecuencias directas incluyen:
- Elevación de privilegios no autorizada: Acceso total a la interfaz web y la API con los permisos del usuario víctima.
- Manipulación de DAGs y flujos de trabajo: Capacidad para activar, pausar, modificar o eliminar flujos de procesamiento de datos (Directed Acyclic Graphs).
- Exfiltración de datos sensibles: Acceso a conexiones, variables y configuraciones almacenadas en Airflow, que a menudo contienen credenciales para bases de datos, APIs y almacenamiento en la nube.
- Denegación de servicio indirecta: La alteración o eliminación de DAGs críticos puede interrumpir procesos de negocio automatizados.
El riesgo se amplifica en entornos multiinquilino o donde Airflow orquesta tareas que interactúan con infraestructuras críticas, como ETL de datos financieros, pipelines de machine learning o automatización de sistemas.
- Confirmar que la versión de Apache Airflow reportada es 3.2.0 o superior mediante el comando
airflow version. - Verificar en los logs de la aplicación (buscar mensajes relacionados con «token_invalidation» o «jwt_blacklist») que el nuevo mecanismo está operativo.
- Realizar una prueba de cierre de sesión y comprobar que, tras el logout, el token anterior no puede usarse para realizar una llamada API válida (por ejemplo, listar DAGs).
- Consultar la referencia oficial en el National Vulnerability Database (NVD) para cualquier actualización posterior.
Referencias y recursos oficiales
- NVD – CVE-2025-57735 — Base de datos nacional de vulnerabilidades (NIST)
- Referencia: github.com
- Referencia: github.com
- Referencia: lists.apache.org
Recursos y fuentes oficiales:
Descubre las vulnerabilidades de tu empresa antes que los atacantes
Nuestro equipo en Iberia Intelligence ofrece auditorías de seguridad, pentesting y análisis de superficie de ataque para empresas e instituciones. Metodología PTES/OWASP, informe ejecutivo + técnico, y seguimiento de remediación incluido.