PT-2026-56179 · Apache · Apache Airflow
Jarek Potiuk
·
Publicado
2026-07-07
·
Atualizado
2026-07-07
·
CVE-2026-49296
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
apache-airflow versões anteriores a 3.3.0
Descrição
Ocorre uma falha de autorização quando um usuário com permissão para ler um Dag específico consegue expor o código-fonte de outros Dags localizados no mesmo arquivo de origem. Este problema afeta implantações que co-localizam múltiplos Dags em um único arquivo e dependem do controle de acesso por Dag. A falha reside no endpoint
GET /api/v2/dagSources/{dag id} e na visualização de origem do Dag correspondente na interface do usuário, que retornam o arquivo de origem completo sem redigir os Dags não autorizados. A variável dag id é utilizada para identificar o Dag solicitado.Recomendações
Atualize para a versão 3.3.0 ou posterior do apache-airflow.
Correção
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Airflow