PT-2026-33592 · Apache · Apache Airflow
Kevin Yang
·
Publicado
2026-04-18
·
Atualizado
2026-04-21
·
CVE-2026-30898
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Name of the Vulnerable Software and Affected Versions
Apache Airflow (versões afetadas não especificadas)
Description
Um exemplo de BashOperator na documentação sugeriu um método de passagem de
dag run.conf que permite o uso de entrada de usuário não sanitizada. Isso pode levar a uma escalada de privilégios onde um usuário da interface (UI) pode executar código no worker.Recommendations
Revisar todos os DAGs para garantir que não adotaram a orientação incorreta da documentação em relação ao uso de
dag run.conf no BashOperator.Correção
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Airflow