CVE-2026-42572

Nome do Software Vulnerável e Versões Afetadas Hatchet versões anteriores a 0.83.39

Description Uma diretiva de autorização ausente no endpoint 'GET /api/v1/stable/dags/tasks' fez com que a verificação de associação de locatário (tenant) fosse ignorada. Um usuário autenticado em uma instância multi-tenant poderia consultar este endpoint usando o UUID de outro locatário e um UUID de DAG pertencente a esse locatário para recuperar metadados de tarefas. Os dados expostos incluem display name, action id, step id, workflow id, workflow version id, workflow run id, task external id, tenant id, retry count, status, timestamps e additional metadata. O campo additional metadata pode conter contextos de domínio sensíveis, como identificadores de usuário, IDs de cliente, flags de recursos ou tokens de correlação.

Recommendations Atualize para a versão 0.83.39 ou posterior. Restrinja a criação de contas configurando SERVER AUTH RESTRICTED EMAIL DOMAINS para uma lista de permissões de domínios controlados. Garanta que a API não esteja exposta a redes não confiáveis, como ao executar o software dentro de uma VPC com controles de rede autenticados.