PT-2026-39578 · Apache Airflow · Apache Airflow Providers Elasticsearch
Aleksandr Sozinov
+1
·
Publicado
2026-05-11
·
Atualizado
2026-05-11
·
CVE-2026-41018
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
apache-airflow-providers-elasticsearch versões anteriores a 6.5.3
Descrição
O provedor de log do Elasticsearch grava a URL completa do host nos logs de tarefa quando configurado com uma URL de
host que incorpora credenciais. Isso permite que qualquer usuário com permissão de leitura de logs de tarefa colete as credenciais do backend.Recomendações
Atualize para a versão 6.5.3 ou posterior.
Configure as credenciais do backend por meio de um backend de segredos em vez de incorporá-las na URL do
host.Correção
Insertion into Log File
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Airflow Providers Elasticsearch