Apache · Apache Airflow · CVE-2026-48726
**Nome do Software Vulnerável e Versões Afetadas**
Apache Airflow versões anteriores a 3.2.2
**Description**
Uma falha no processamento de logout do gerenciador de autenticação permite que tokens JSON Web Tokens (JWT) emitidos anteriormente permaneçam válidos após o usuário clicar em logout na interface do usuário. Em implantações configuradas com `FabAuthManager` ou `KeycloakAuthManager`, o fluxo de logout não atinge a função `revoke token()`, fazendo com que o servidor de API continue aceitando o token até a sua expiração natural. Isso permite que um invasor que possua um JWT de uma sessão encerrada continue a fazer chamadas de API autenticadas como esse usuário.
**Recommendations**
Atualize para a versão 3.2.2 ou posterior.