PT-2026-56177 · Apache · Apache Airflow

Jarek Potiuk

·

Publicado

2026-07-07

·

Atualizado

2026-07-07

·

CVE-2026-48891

CVSS v3.1

4.3

Média

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Nome do Software Vulnerável e Versões Afetadas Apache Airflow versões anteriores a 3.3.0
Description Um erro no endpoint de grafo de agendamento /ui/dependencies permite que um usuário da interface autenticado com permissões de leitura em alguns Dags enumere identificadores de outros Dags que ele não tem autorização para ler. Embora o sistema aplique um filtro de Dags legíveis à chave de Dag serializada de nível superior, ele falha em propagar esse filtro para os campos dep.source e dep.target de entradas de dependência de gatilho (trigger) e sensor. Este problema afeta implantações que utilizam o escopo de leitura por Dag para manter a privacidade dos identificadores de Dag entre equipes.
Recommendations Atualize para a versão 3.3.0 ou posterior.

Correção

Information Disclosure

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-48891

Produtos afetados

Apache Airflow