PT-2026-56176 · Apache · Apache Airflow
Omkhar Arasaratnam
+1
·
Publicado
2026-07-07
·
Atualizado
2026-07-07
·
CVE-2026-48828
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
Apache Airflow versões anteriores a 3.3.0
Description
A API de Variáveis em Massa (Bulk Variables API) falha ao passar a chave da variável para o redator. Isso impede que a função
should hide value for key identifique nomes de chaves com sufixos de segredo, como * password, * token ou * secret. Consequentemente, um usuário autenticado com permissões de leitura de Variáveis em massa pode recuperar valores em texto simples de variáveis JSON que deveriam ter sido redigidos.Recommendations
Atualize para a versão 3.3.0 ou posterior.
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Airflow