CVE-2026-40948

Nome do Software Vulnerável e Versões Afetadas apache-airflow-providers-keycloak versões anteriores a 0.7.0

Descrição O gerenciador de autenticação Keycloak não gera nem valida o parâmetro state do OAuth 2.0 durante o fluxo de login e login-callback e não implementa o PKCE (Proof Key for Code Exchange), uma extensão de segurança do OAuth 2.0 que evita a injeção de códigos de autorização. Um invasor com uma conta Keycloak no mesmo realm pode enviar uma URL de callback manipulada para o navegador de uma vítima, forçando a vítima a ser conectada à sessão do Airflow do invasor. Este login-CSRF ou fixação de sessão permite que o invasor colete quaisquer credenciais que a vítima armazene posteriormente nas Conexões do Airflow.

Recomendações Atualize para a versão 0.7.0 ou posterior.