CVE-2026-41017

Nome do Software Vulnerável e Versões Afetadas Apache Airflow versões anteriores a 3.2.2

Description O JWTRefreshMiddleware define o cookie de autenticação JWT sem a flag Secure. Em implantações onde o servidor de API do Airflow está posicionado atrás de um proxy reverso com terminação HTTPS, o JWT da sessão pode ser repetido através de requisições HTTP em texto claro para o mesmo host. Um atacante posicionado na rede poderia induzir o navegador de um usuário autenticado a emitir uma requisição HTTP para o hostname, capturar o cookie JWT e repetí-lo contra a API autenticada.

Recommendations Atualize para a versão 3.2.2 ou posterior.