Jens Scheffler

**Nome do Software Vulnerável e Versões Afetadas** Versões do Airflow anteriores a 3.1.4 Versões do Airflow anteriores a 2.11.1 **Descrição** Existe uma falha no Airflow na qual o relatório de erros da interface do usuário (UI) poderia expor informações sensíveis passadas como argumentos de palavra-chave (`kwargs`) para operadores quando um Grafo Acíclico Direcionado (DAG) falhava durante a análise. Esta exposição estava limitada a usuários autenticados com permissão para visualizar o DAG afetado. O problema poderia levar à divulgação de segredos ou outros valores sensíveis incluídos dentro dos `kwargs`. **Recomendações** Atualize para o Airflow versão 3.1.4 ou posterior. Atualize para o Airflow versão 2.11.1 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Apache Airflow anteriores à 2.9.2 **Descrição** O problema está relacionado ao uso do cache do navegador da web contendo informações confidenciais no Apache Airflow. O Airflow não retornava um cabeçalho “Cache-Control” para conteúdo dinâmico, o que poderia resultar no armazenamento potencial de dados confidenciais no cache local do navegador. Isso poderia permitir que um invasor divulgasse informações protegidas por meio do cabeçalho Cache-Control. **Recomendações** Para versões do Apache Airflow anteriores à 2.9.2, atualize para a versão 2.9.2, que corrige o problema. Como solução temporária, considere configurar o navegador para desativar o armazenamento em cache de dados confidenciais ou restringir o acesso a informações confidenciais até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Apache Airflow versão 2.9.0 **Descrição** A vulnerabilidade permite que um invasor autenticado injete dados maliciosos nos logs das instâncias de tarefa. Trata-se de uma vulnerabilidade de segurança crítica que permite que invasores injetem dados nos logs das instâncias de tarefa. **Recomendações** Para o Apache Airflow versão 2.9.0, atualize para a versão 2.9.1 para corrigir o problema. Como solução alternativa temporária, considere restringir o acesso aos logs das instâncias de tarefa até que a atualização seja aplicada.

**Name of the Vulnerable Software and Affected Versions** Apache Airflow versions 2.6.0 through 2.7.3 **Description** The issue is related to a stored XSS vulnerability that allows a DAG author to add unbounded and not-sanitized JavaScript in the parameter description field of the DAG. This JavaScript can be executed on the client side of any user who looks at the tasks in the browser sandbox, allowing modification of what the user sees in the browser. This opens up possibilities of misleading other users. **Recommendations** For Apache Airflow versions 2.6.0 through 2.7.3, upgrade to version 2.8.0 or newer to mitigate the risk associated with this vulnerability. As a temporary workaround, consider restricting access to the parameter description field of the DAG to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** Apache Airflow versions 2.7.0 through 2.7.3 **Description** The issue is related to insufficient authentication of executed requests in Apache Airflow, allowing an attacker to trigger a DAG in a GET request without CSRF validation. This could enable a malicious website opened in the same browser as the Airflow UI to trigger the execution of DAGs without the user's consent. **Recommendations** For Apache Airflow versions 2.7.0 through 2.7.3, upgrade to version 2.8.0 or later, which is not affected by this issue. As a temporary workaround, consider restricting access to the Airflow UI to minimize the risk of exploitation.