PT-2026-56177 · Apache · Apache Airflow
Jarek Potiuk
·
Publicado
2026-07-07
·
Atualizado
2026-07-07
·
CVE-2026-48891
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
Apache Airflow versões anteriores a 3.3.0
Description
Um erro no endpoint de grafo de agendamento
/ui/dependencies permite que um usuário da interface autenticado com permissões de leitura em alguns Dags enumere identificadores de outros Dags que ele não tem autorização para ler. Embora o sistema aplique um filtro de Dags legíveis à chave de Dag serializada de nível superior, ele falha em propagar esse filtro para os campos dep.source e dep.target de entradas de dependência de gatilho (trigger) e sensor. Este problema afeta implantações que utilizam o escopo de leitura por Dag para manter a privacidade dos identificadores de Dag entre equipes.Recommendations
Atualize para a versão 3.3.0 ou posterior.
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Airflow