Pierre Jeambrun

**Nome do Software Vulnerável e Versões Afetadas** Apache Airflow versões anteriores a 3.2.2 **Description** O endpoint de detalhes do Log de Eventos "GET /api/v2/eventLogs/{event log id}" busca linhas de log de auditoria diretamente por ID numérico após realizar apenas uma verificação genérica de permissão de Log de Auditoria. Isso difere do endpoint de coleção "GET /api/v2/eventLogs", que aplica o escopo por Dag. Consequentemente, um usuário autenticado de UI ou API com permissão de leitura de log de auditoria para um único Dag pode recuperar entradas de log de auditoria de qualquer outro Dag ao adivinhar ou enumerar a variável `event log id`. **Recommendations** Atualize para a versão 3.2.2 ou posterior.

**Name of the Vulnerable Software and Affected Versions** Airflow versões anteriores a 3.2.0 **Description** Um usuário com permissão de materialização de ativos via UI ou API pode disparar DAGs (Directed Acyclic Graphs, que são coleções de todas as tarefas que você deseja executar, organizadas de forma a refletir suas relações) às quais não possui acesso. **Recommendations** Atualizar para a versão 3.2.0.

**Name of the Vulnerable Software and Affected Versions** Apache Airflow versions 3.0.0 through 3.1.7 **Description** The FastAPI DagVersion listing API in Apache Airflow does not enforce per-DAG authorization filtering when a request is made with the `dag id` parameter set to '~' (wildcard for all DAGs). This allows the retrieval of version metadata for DAGs that the requesting user is not authorized to access. **Recommendations** Upgrade to Apache Airflow version 3.1.8 or later.