Anisto Mejin

**Nome do Software Vulnerável e Versões Afetadas** Apache Airflow versões anteriores a 3.2.2 **Descrição** Um erro no endpoint PATCH do XCom "PATCH /api/v2/xcomEntries/{key}" permite que um usuário autenticado de UI/API com permissão de escrita XCom em um Dag defina entradas XCom usando nomes de chaves reservadas, como `return value`. Enquanto o endpoint POST valida contra `FORBIDDEN XCOM KEYS`, o endpoint PATCH não o faz. Além disso, o endpoint aceita formatos de payload serializados que o desserializador do triggerer trata como código. Essa combinação permite a Execução Remota de Código (RCE) no triggerer quando a tarefa afetada for adiada (deferred). Este problema afeta especificamente implantações onde usuários não confiáveis possuem permissões de escrita XCom em Dags que dependem do triggerer. **Recomendações** Atualize para a versão 3.2.2 ou posterior.