PT-2026-25892 · Apache · Apache Airflow

Shubham Raj

Publicado

2026-03-17

Atualizado

2026-03-18

CVE-2026-28563

CVSS v3.1

4.3

Média

Vetor

AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Name of the Vulnerable Software and Affected Versions Apache Airflow versions 3.1.0 through 3.1.7

Description The /ui/dependencies endpoint in Apache Airflow returns the complete DAG dependency graph without filtering by authorized DAG IDs. This allows an authenticated user with only DAG Dependencies permission to enumerate DAGs they are not authorized to view.

Recommendations Upgrade to Apache Airflow version 3.1.8 or later.

Correção

DoS

Incorrect Permission

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-732

Identificadores relacionados

BDU:2026-05614

BIT-AIRFLOW-2026-28563

CVE-2026-28563

GHSA-X3FV-96QH-67M7

PYSEC-2026-15

Produtos afetados

Apache Airflow

PT-2026-25892 · Apache · Apache Airflow

CVE-2026-28563

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 17