PT-2026-50220 · Apache · Apache Airflow Ftp Provider
Jarek Potiuk
+1
·
Publicado
2026-06-17
·
Atualizado
2026-06-17
·
CVE-2026-50203
Nenhuma
Não há classificações de severidade ou métricas disponíveis. Quando houver, atualizaremos as informações correspondentes na página.
A path traversal in the SFTP provider (
SFTPHook.retrieve directory / SFTPOperator(operation=get)) let a malicious or compromised remote SFTP server write files outside the configured local destination directory via crafted directory-entry names. No Airflow account is required — the attack surface is any deployment downloading directories from an untrusted SFTP server. Upgrade apache-airflow-providers-sftp to 5.8.1 or later.Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Airflow Ftp Provider