Apache · Apache Airflow · CVE-2026-40961
**Nome do Software Vulnerável e Versões Afetadas**
Apache Airflow versões anteriores a 3.2.2
**Description**
Um erro na rota de redirecionamento de login permite que usuários autenticados criem URLs que ignoram a verificação `is safe url`. Isso possibilita o redirecionamento de usuários de um domínio Airflow confiável para uma origem controlada por um invasor. O problema envolve o parâmetro de consulta `next=`.
**Recommendations**
Atualize para a versão 3.2.2 ou posterior.
Posicione o Airflow atrás de um proxy reverso que remova parâmetros de consulta `next=` de domínios externos antes que eles alcancem o endpoint de login.