PT-2026-39579 · Apache Airflow · Apache Airflow Providers Opensearch
Aleksandr Sozinov
+2
·
Publicado
2026-05-11
·
Atualizado
2026-05-11
·
CVE-2026-43826
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
apache-airflow-providers-opensearch versões anteriores a 1.9.1
Descrição
O provedor de logging do OpenSearch grava a URL completa do host nos logs de tarefa quando configurado com uma URL
host que incorpora credenciais. Isso permite que qualquer usuário com permissões de leitura de logs de tarefa colete as credenciais do backend.Recomendações
Atualize para a versão 1.9.1 ou posterior.
Configure as credenciais do backend por meio de um backend de segredos em vez de incorporá-las na URL
host.Correção
Insertion into Log File
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Airflow Providers Opensearch