Airflow · Airflow · CVE-2024-31869
**Nome do software vulnerável e versões afetadas**
Versões do Airflow 2.7.0 a 2.8.4
**Descrição**
O problema está relacionado à proteção insuficiente de dados internos, permitindo que um usuário autenticado acesse configurações confidenciais do provedor por meio da página da interface do usuário “configuration” quando a opção “non-sensitive-only” está definida como “webserver.expose config” na configuração. Isso afeta principalmente o provedor Celery, que possui configurações confidenciais.
**Recomendações**
Para as versões do Airflow 2.7.0 a 2.8.4, migre para o Airflow 2.9 ou altere a configuração “expose config” para False como solução alternativa.