Ali Al-Habsi

**Nome do software vulnerável e versões afetadas** Apache Airflow versões 2.2.3 e anteriores **Descrição** A tela “Trigger DAG with config” no Apache Airflow está suscetível a ataques XSS por meio do argumento de consulta `origin`. **Recomendações** Para as versões 2.2.3 e anteriores do Apache Airflow, considere desativar a tela “Trigger DAG with config” até que uma correção esteja disponível para impedir ataques XSS por meio do argumento de consulta `origin`.

**Nome do software vulnerável e versões afetadas** Versões do Airflow anteriores à 1.10.13 **Descrição** O problema ocorre ao criar um usuário usando a CLI do Airflow ou ao criar uma conexão com um campo de senha no Airflow, onde a senha é registrada em texto simples na tabela Log dos metadados do Airflow. **Recomendações** Para versões anteriores à 1.10.13, atualize para a versão 1.10.13 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Apache Airflow anteriores à 1.10.15 **Descrição** O problema está relacionado a uma exploração de XSS por meio do parâmetro `origin` passado a determinados endpoints, como ‘/trigger’. **Recomendações** Para versões anteriores à 1.10.15, atualize para a versão 1.10.15 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint vulnerável ‘/trigger’ até que um patch esteja disponível. Evite usar o parâmetro `origin` no endpoint da API afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do Apache Airflow anteriores à 1.10.12 **Descrição** O problema diz respeito a uma exploração de tipo XSS no Apache Airflow. O parâmetro `origin` passado a determinados endpoints, como `/trigger`, está vulnerável a essa exploração. **Recomendações** Para versões anteriores à 1.10.12, atualize para a versão 1.10.12 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso aos endpoints vulneráveis, como `/trigger`, para minimizar o risco de exploração. Evite usar o parâmetro `origin` nos endpoints da API afetados até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões 1.10.10 e anteriores do Apache Airflow **Descrição** Foi detectada uma falha nas telas de gerenciamento administrativo da interface de usuário (UI) nova/RBAC, onde a escapagem de caracteres era tratada incorretamente. Isso permitia que usuários autenticados com permissões adequadas criassem ataques XSS armazenados. **Recomendações** Para as versões 1.10.10 e anteriores do Apache Airflow, considere atualizar para uma versão superior à 1.10.10 para resolver o problema. Como solução temporária, restrinja o acesso às telas de gerenciamento administrativo na nova interface do usuário (UI)/RBAC para minimizar o risco de exploração.