CVE-2026-40963

Nome do Software Vulnerável e Versões Afetadas apache-airflow versões anteriores a 3.2.2

Descrição O endpoint 'structure data' na interface do usuário do Airflow retorna nós de grafos de dependência externa para DAGs (Directed Acyclic Graphs, que são coleções de todas as tarefas que você deseja executar, organizadas de forma a refletir seus relacionamentos e dependências) vinculadas sem verificar se o chamador possui permissão de leitura sobre essas DAGs. Consequentemente, um usuário autenticado da interface ou API autorizado para uma DAG pode enumerar IDs de DAGs vinculadas e metadados de dependência de outras DAGs que não tem autorização para ler. Este problema afeta implantações que dependem do escopo de leitura por DAG para manter a topologia de dependência de DAGs privada entre equipes.

Recomendações Atualize para a versão 3.2.2 ou posterior.