CVE-2026-40861

Nome do Software Vulnerável e Versões Afetadas Apache Airflow versões anteriores a 3.2.2

Descrição Uma falha no FileTaskHandler permite que um autor de DAG acesse ou modifique arquivos fora da base log folder configurada quando a pasta de logs do worker é compartilhada com o servidor de API. Isso pode ser feito por meio de um ataque de caminho de leitura (read-path attack), criando um link simbólico no diretório de logs da tarefa apontando para um arquivo arbitrário legível pelo processo do servidor de API, como /etc/passwd ou airflow.cfg. Alternativamente, um ataque de caminho de escrita (write-path attack) pode ser realizado fornecendo um task id contendo sequências .. aceitas pelo KEY REGEX do Task SDK. Essas ações podem levar ao vazamento ou à sobrescrita de arquivos arbitrários.

Recomendações Atualize para a versão 3.2.2 ou posterior. Implante o worker e o servidor de API com volumes de log separados para garantir que os caminhos controlados pelo worker não alcancem o sistema de arquivos do servidor de API.