CVE-2026-38743

Nome do Software Vulnerável e Versões Afetadas Airflow versões anteriores a 3.2.1

Description O endpoint autenticado '/ui/dags' não aplica o controle de acesso por DAG em registros incorporados de Human-in-the-Loop (HITL) e TaskInstance. Isso permite que um usuário logado com acesso de leitura a pelo menos um DAG recupere prompts HITL, incluindo seus parâmetros de solicitação, e detalhes completos de TaskInstance para DAGs fora de seu escopo autorizado. Como os prompts HITL e os campos de TaskInstance rotineiramente carregam parâmetros de operador e contexto de formulário livre anexados a uma tarefa, esse vazamento amplia a visibilidade dos dados de execução do DAG além do limite de RBAC (Controle de Acesso Baseado em Função) pretendido para cada usuário autenticado.

Recommendations Atualizar para a versão 3.2.1.