CVE-2026-41084

Nome do Software Vulnerável e Versões Afetadas Apache Airflow versões anteriores a 3.2.2

Description Um erro na API de Instâncias de Tarefas em massa permite que um usuário autenticado da UI ou API ignore a autorização e altere estados de Instâncias de Tarefas entre diferentes DAGs. O sistema avalia a autorização com base no dag id fornecido no caminho da URL, mas executa as operações utilizando o dag id e o dag run id extraídos do corpo da requisição. Consequentemente, um usuário com permissões de edição para um DAG pode modificar Instâncias de Tarefas em qualquer outro DAG, mantendo o ID autorizado na URL e especificando os IDs do alvo no corpo da requisição. Este problema afeta implantações que utilizam o escopo de edição por DAG para isolar estados de Instâncias de Tarefas entre equipes. O endpoint afetado é 'PATCH/DELETE /api/v2/dags/{dag id}/dagRuns/{dag run id}/taskInstances', e as variáveis vulneráveis são dag id e dag run id.

Recommendations Atualizar para a versão 3.2.2 ou posterior.