Apache · Apache Airflow · CVE-2021-38540
**Nome do software vulnerável e versões afetadas**
Versões 2.0.0 a 2.1.2 do Apache Airflow
**Descrição**
O problema diz respeito ao endpoint de importação de variáveis não estar protegido por autenticação. Isso permite que usuários não autenticados acessem o endpoint, o que pode levar à negação de serviço, divulgação de informações ou execução remota de código ao adicionar ou modificar variáveis do Airflow utilizadas em DAGs.
**Recomendações**
Para as versões 2.0.0 a 2.1.2 do Apache Airflow, atualize para a versão 2.1.3 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao endpoint de importação de variáveis até que um patch esteja disponível.