CVE-2026-48726

Nome do Software Vulnerável e Versões Afetadas Apache Airflow versões anteriores a 3.2.2

Description Uma falha no processamento de logout do gerenciador de autenticação permite que tokens JSON Web Tokens (JWT) emitidos anteriormente permaneçam válidos após o usuário clicar em logout na interface do usuário. Em implantações configuradas com FabAuthManager ou KeycloakAuthManager, o fluxo de logout não atinge a função revoke token(), fazendo com que o servidor de API continue aceitando o token até a sua expiração natural. Isso permite que um invasor que possua um JWT de uma sessão encerrada continue a fazer chamadas de API autenticadas como esse usuário.

Recommendations Atualize para a versão 3.2.2 ou posterior.