CVE-2026-49298

Nome do Software Vulnerável e Versões Afetadas Apache Airflow versões anteriores a 3.2.2

Descrição Um erro no KubernetesExecutor faz com que os tokens JSON Web Tokens (JWT), utilizados por pods de trabalho para se autenticarem na API de Execução, sejam passados para o contentor de trabalho como argumentos de linha de comando. Estes tokens ficam visíveis na especificação do pod. Um utilizador autenticado da UI ou API com acesso de leitura ao Kubernetes no cluster, como a permissão pods/get no namespace do Airflow, pode recuperar o JWT através da saída do comando kubectl describe pod. Isto permite que o utilizador chame endpoints de mutação de estado da API de Execução para disparar execuções de DAG, limpar execuções ou ler e escrever Variáveis, Conexões e XComs, simulando a identidade de uma tarefa em execução.

Recomendações Atualizar para a versão 3.2.2 ou posterior.