Apache · Apache Airflow · CVE-2026-34538
Name of the Vulnerable Software and Affected Versions
Apache Airflow versions 3.0.0 through 3.1.8
Description
O endpoint de espera DagRun no Apache Airflow permite que usuários com permissões de leitura do DAG Run, como a função Viewer, acessem valores de resultado XCom. Este comportamento contradiz o modelo de segurança pretendido, onde XCom é um recurso protegido e a função Viewer deve ser somente leitura.
Recommendations
Atualize para a versão 3.2.0 do Apache Airflow.