CVE-2024-50378

Nome do software vulnerável e versões afetadas:

Versões do Apache Airflow anteriores à 2.10.3

Descrição:

A vulnerabilidade permite que usuários autenticados com acesso aos registros de auditoria visualizem valores confidenciais nesses registros que não deveriam ter acesso. Isso ocorre quando variáveis confidenciais são definidas por meio da CLI do Airflow, fazendo com que os valores sejam armazenados sem criptografia no banco de dados do Airflow. O risco se limita aos usuários com acesso aos registros de auditoria.

Recomendações:

Para versões do Apache Airflow anteriores à 2.10.3, atualize para o Airflow 2.10.3 ou uma versão posterior para resolver este problema. Além disso, os usuários que anteriormente usavam a CLI para definir variáveis secretas devem excluir manualmente as entradas com essas variáveis da tabela de logs.