Apache Airflow · Apache Airflow Amazon Provider · CVE-2026-42526
**Nome do Software Vulnerável e Versões Afetadas**
apache-airflow-providers-amazon versões anteriores a 9.28.0
**Descrição**
Nos backends de segredos AWS Secrets Manager e SSM Parameter Store, a lógica de escopo de equipe poderia resolver um `conn id` contendo `/` (por exemplo, "my team/conn") para o mesmo caminho que o segredo de escopo de equipe de outra equipe quando o chamador não possuía contexto de equipe. Isso permite que um chamador privilegiado sem contexto de equipe recupere segredos de outra equipe ao criar um `conn id` colidente. Este problema afeta apenas o recurso experimental de equipes multi-tenant.
**Recomendações**
Atualizar para a versão 9.28.0.