PT-2026-36084 · Apache Airflow · Apache-Airflow-Providers-Smtp
Francis Bergin
+1
·
Publicado
2026-04-30
·
Atualizado
2026-06-03
·
CVE-2026-41016
CVSS v3.1
5.9
Média
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
apache-airflow-providers-smtp (versões afetadas não especificadas)
Descrição
O componente
SmtpHook no provedor SMTP chama a função Python smtplib.SMTP.starttls() sem um contexto SSL. Essa omissão impede a validação do certificado durante a atualização do TLS. Consequentemente, um invasor do tipo man-in-the-middle posicionado entre o worker do Airflow e o servidor SMTP poderia apresentar um certificado autoassinado para concluir a atualização STARTTLS e capturar as credenciais SMTP transmitidas durante a chamada login().Recomendações
Atualize para a versão do
apache-airflow-providers-smtp que contenha a correção.Correção
Improper Certificate Validation
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache-Airflow-Providers-Smtp