Alex Liotta

**Nome do software vulnerável e versões afetadas** Versões 2.8.0 a 2.8.2 do Apache Airflow **Descrição** O problema está relacionado a um controle de acesso insuficiente no Apache Airflow, permitindo que um usuário autenticado com permissões limitadas acesse recursos como variáveis, conexões etc. a partir da interface do usuário, aos quais não tem permissão de acesso. Isso poderia permitir que um invasor remoto obtivesse acesso não autorizado aos recursos. **Recomendações** Para as versões 2.8.0 a 2.8.2 do Apache Airflow, atualize para a versão 2.8.3 ou mais recente para mitigar o risco associado a este problema.

**Nome do software vulnerável e versões afetadas** Versões do Apache Airflow anteriores à 2.8.2 **Descrição** A vulnerabilidade permite que usuários autenticados visualizem o código DAG e os erros de importação de DAGs para os quais não têm permissão de visualização, tanto pela API quanto pela interface do usuário. Isso está relacionado à divulgação de informações na área de dados de erros. A exploração da vulnerabilidade pode permitir que um invasor remoto acesse o código-fonte dos DAGs. **Recomendações** Para versões do Apache Airflow anteriores à 2.8.2, atualize para a versão 2.8.2 ou mais recente para mitigar o risco associado a esta vulnerabilidade. Como solução temporária, considere restringir o acesso à API e à interface do usuário para usuários autenticados até que um patch esteja disponível.