PT-2026-56176 · Apache · Apache Airflow

Omkhar Arasaratnam

+1

·

Publicado

2026-07-07

·

Atualizado

2026-07-07

·

CVE-2026-48828

CVSS v3.1

6.5

Média

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Nome do Software Vulnerável e Versões Afetadas Apache Airflow versões anteriores a 3.3.0
Description A API de Variáveis em Massa (Bulk Variables API) falha ao passar a chave da variável para o redator. Isso impede que a função should hide value for key identifique nomes de chaves com sufixos de segredo, como * password, * token ou * secret. Consequentemente, um usuário autenticado com permissões de leitura de Variáveis em massa pode recuperar valores em texto simples de variáveis JSON que deveriam ter sido redigidos.
Recommendations Atualize para a versão 3.3.0 ou posterior.

Correção

Information Disclosure

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-48828

Produtos afetados

Apache Airflow