PT-2026-56179 · Apache · Apache Airflow

Jarek Potiuk

·

Publicado

2026-07-07

·

Atualizado

2026-07-07

·

CVE-2026-49296

CVSS v3.1

6.5

Média

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Nome do Software Vulnerável e Versões Afetadas apache-airflow versões anteriores a 3.3.0
Descrição Ocorre uma falha de autorização quando um usuário com permissão para ler um Dag específico consegue expor o código-fonte de outros Dags localizados no mesmo arquivo de origem. Este problema afeta implantações que co-localizam múltiplos Dags em um único arquivo e dependem do controle de acesso por Dag. A falha reside no endpoint GET /api/v2/dagSources/{dag id} e na visualização de origem do Dag correspondente na interface do usuário, que retornam o arquivo de origem completo sem redigir os Dags não autorizados. A variável dag id é utilizada para identificar o Dag solicitado.
Recomendações Atualize para a versão 3.3.0 ou posterior do apache-airflow.

Correção

IDOR

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-49296

Produtos afetados

Apache Airflow