PT-2026-56178 · Apache · Apache Airflow
Jarek Potiuk
+1
·
Publicado
2026-07-07
·
Atualizado
2026-07-07
·
CVE-2026-48892
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
Apache Airflow versões anteriores a 3.3.0
Descrição
A API de Configuração expõe substituições de backend de segredos por chave, como as variáveis de ambiente
AIRFLOW SECRETS BACKEND KWARG SECRET ID e AIRFLOW WORKERS SECRETS BACKEND KWARG SECRET ID, como opções de configuração sintéticas. Como esses nomes de opção não estão incluídos em sensitive config values, o mascarador não os redige. Consequentemente, um usuário autenticado da UI ou API com permissão de leitura de Configuração pode recuperar credenciais de backend de segredos em texto simples, incluindo role id e secret id do Vault, a partir da saída da API de Configuração.Recomendações
Atualize para a versão 3.3.0 ou posterior do apache-airflow.
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Airflow