CVE-2026-45192

Nome do Software Vulnerável e Versões Afetadas Apache Airflow versões anteriores a 3.2.2

Descrição Uma falha no endpoint da API REST GET '/api/v2/connections/{connection id}' permite que um usuário autenticado de UI/API com permissão de leitura de conexão recupere segredos armazenados no blob JSON extra de uma conexão. Isso ocorre quando os segredos são armazenados sob nomes de campos que não estão incluídos na lista de permissões de redação (DEFAULT SENSITIVE FIELDS), resultando no retorno de dados sensíveis, como nomes de campos de credenciais do provedor Slack, em texto simples. Este problema afeta implantações que armazenam credenciais em blobs extra de conexão e concedem acesso de leitura de conexão a múltiplos usuários.

Recomendações Atualize para a versão 3.2.2 ou posterior. Armazene valores de credenciais sensíveis em um secret-backend em vez de inseri-los diretamente no campo extra da conexão.