Shubham Raj

**Name of the Vulnerable Software and Affected Versions** Apache Airflow versions 3.1.0 through 3.1.7 **Description** The `/ui/dependencies` endpoint in Apache Airflow returns the complete DAG dependency graph without filtering by authorized DAG IDs. This allows an authenticated user with only DAG Dependencies permission to enumerate DAGs they are not authorized to view. **Recommendations** Upgrade to Apache Airflow version 3.1.8 or later.

**Nome do Software Vulnerável e Versões Afetadas** Apache Airflow versões 3.1.0 a 3.1.6 **Descrição** Existe uma falha de autorização no Apache Airflow que pode permitir que um usuário autenticado com permissões de tarefas limitadas visualize logs de tarefas sem a devida autorização. O problema afeta sistemas nos quais os usuários possuem permissões personalizadas que restringem o acesso aos logs de tarefas, mas ainda permitem o acesso às tarefas. **Recomendações** Atualize para o Apache Airflow versão 3.1.7 ou posterior.

Nome do software vulnerável e versões afetadas: Versões do Apache Airflow anteriores à 2.10.3 Descrição: A vulnerabilidade permite que usuários autenticados com acesso aos registros de auditoria visualizem valores confidenciais nesses registros que não deveriam ter acesso. Isso ocorre quando variáveis confidenciais são definidas por meio da CLI do Airflow, fazendo com que os valores sejam armazenados sem criptografia no banco de dados do Airflow. O risco se limita aos usuários com acesso aos registros de auditoria. Recomendações: Para versões do Apache Airflow anteriores à 2.10.3, atualize para o Airflow 2.10.3 ou uma versão posterior para resolver este problema. Além disso, os usuários que anteriormente usavam a CLI para definir variáveis secretas devem excluir manualmente as entradas com essas variáveis da tabela de logs.