CVE-2026-42359

Nome do Software Vulnerável e Versões Afetadas Apache Airflow versões anteriores a 3.2.2

Descrição Um erro no endpoint PATCH do XCom "PATCH /api/v2/xcomEntries/{key}" permite que um usuário autenticado de UI/API com permissão de escrita XCom em um Dag defina entradas XCom usando nomes de chaves reservadas, como return value. Enquanto o endpoint POST valida contra FORBIDDEN XCOM KEYS, o endpoint PATCH não o faz. Além disso, o endpoint aceita formatos de payload serializados que o desserializador do triggerer trata como código. Essa combinação permite a Execução Remota de Código (RCE) no triggerer quando a tarefa afetada for adiada (deferred). Este problema afeta especificamente implantações onde usuários não confiáveis possuem permissões de escrita XCom em Dags que dependem do triggerer.

Recomendações Atualize para a versão 3.2.2 ou posterior.