CVE-2026-42360

Nome do Software Vulnerável e Versões Afetadas Apache Airflow versões anteriores a 3.2.2

Descrição Um erro no processamento do campo rendered-template permite a evasão da máscara de chaves sensíveis aninhadas. Quando um campo renderizado excede o limite [core] max templated field length, o software transforma a estrutura em string antes da redação, o que remove o contexto da chave aninhada e resulta na persistência de valores em texto simples no rendered fields. Isso afeta implementações onde autores de DAG passam JSON estruturado para operadores contendo chaves sensíveis aninhadas, como password, token, secret ou api key. Um usuário autenticado de UI ou API com permissões para ler campos de template renderizados pode coletar esses valores secretos.

Recomendações Atualize para a versão 3.2.2 ou posterior.