CVE-2026-41014

Nome do Software Vulnerável e Versões Afetadas apache-airflow versões anteriores a 3.2.2

Description Os endpoints 'partitioned dag runs' na interface do usuário aplicam apenas o controle de acesso ao nível de ativo, e não a autorização por Dag. Isso permite que um usuário autenticado da UI ou API com a permissão global Asset:read enumere o estado de execução da partição, a configuração de agendamento e o encadeamento de ativos para Dags que ele não tem autorização para ler. Este problema afeta implantações que dependem do escopo de leitura por Dag enquanto concedem aos usuários acesso mais amplo a Ativos.

Recommendations Atualize para a versão 3.2.2 ou posterior.