PT-2026-56178 · Apache · Apache Airflow

Jarek Potiuk

+1

·

Publicado

2026-07-07

·

Atualizado

2026-07-07

·

CVE-2026-48892

CVSS v3.1

6.5

Média

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Nome do Software Vulnerável e Versões Afetadas Apache Airflow versões anteriores a 3.3.0
Descrição A API de Configuração expõe substituições de backend de segredos por chave, como as variáveis de ambiente AIRFLOW SECRETS BACKEND KWARG SECRET ID e AIRFLOW WORKERS SECRETS BACKEND KWARG SECRET ID, como opções de configuração sintéticas. Como esses nomes de opção não estão incluídos em sensitive config values, o mascarador não os redige. Consequentemente, um usuário autenticado da UI ou API com permissão de leitura de Configuração pode recuperar credenciais de backend de segredos em texto simples, incluindo role id e secret id do Vault, a partir da saída da API de Configuração.
Recomendações Atualize para a versão 3.3.0 ou posterior do apache-airflow.

Correção

Information Disclosure

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-48892

Produtos afetados

Apache Airflow