CVE-2026-45360

Nome do Software Vulnerável e Versões Afetadas Apache Airflow versões anteriores a 3.2.2

Descrição O decodificador de referência de prazo do lado do agendador (SerializedCustomReference.deserialize reference) importa e despacha caminhos de classe arbitrários a partir de um estado serializado controlado pelo autor da DAG, sem a utilização de uma lista de permissões (allowlist) ou de um portal de registro de plugins. Em implantações onde o código do autor da DAG é menos confiável do que o processo do agendador, como em implantações de host único onde o pacote da DAG é importável pelo processo do agendador, um invasor poderia incorporar um DeadlineReference personalizado. Isso permite que o invasor especifique um caminho de módulo controlado, levando o agendador a executar import string(...) e instanciar a classe com uma sessão SQLAlchemy ativa anexada.

Recomendações Atualize para a versão 3.2.2 ou posterior.