CVE-2026-49267

Nome do Software Vulnerável e Versões Afetadas Apache Airflow versões anteriores a 3.2.2

Description O EmailOperator e os auxiliares airflow.utils.email estabelecem conexões SMTP STARTTLS sem verificar o certificado remoto quando a implantação é configurada com smtp starttls=True e smtp ssl=False. Isso permite que um invasor posicionado entre o worker e o servidor SMTP realize um ataque de Man-in-the-Middle (MITM) ao apresentar um certificado autoassinado. Consequentemente, o invasor pode completar silenciosamente o handshake STARTTLS e capturar as credenciais de autenticação SMTP AUTH e o conteúdo das mensagens encaminhadas.

Recommendations Atualize para a versão 3.2.2 ou posterior.