Junghan Lee

**Nome do software vulnerável e versões afetadas** Versões do Apache Airflow anteriores à 1.10.14 **Descrição** O problema está relacionado à validação incorreta de sessões no servidor web do Apache Airflow, causada pelo uso de uma configuração padrão que inclui uma `secret key` predefinida. Isso permite que um usuário mal-intencionado acesse um servidor web do Airflow não autorizado em um site diferente, utilizando uma sessão do site original. O problema decorre do uso de uma chave temporária no arquivo de configuração padrão `airflow.cfg`, que é o mesmo para todas as instalações. Como resultado, um cookie de sessão validado em um servidor Airflow também é válido para outro servidor. **Recomendações** Para versões do Apache Airflow anteriores à 1.10.14, altere o valor padrão da configuração `[webserver] secret key` para impedir o acesso não autorizado. Como solução temporária, considere restringir o acesso ao servidor web do Airflow até que o problema seja resolvido.