PT-2026-56180 · Apache · Apache Airflow
Andrew Rukin
+1
·
Publicado
2026-07-07
·
Atualizado
2026-07-07
·
CVE-2026-49487
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
Apache Airflow versões anteriores a 3.3.0
Description
Os endpoints de detalhamento e listagem de instâncias de tarefa da REST API retornam os
trigger kwargs de uma tarefa adiada sem mascaramento. Isso permite que qualquer usuário autenticado com acesso de leitura de instância de tarefa com escopo de DAG visualize informações sensíveis, como chaves de API de provedores, em texto claro enquanto a tarefa estiver adiada.Recommendations
Atualize para a versão 3.3.0 ou posterior.
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Airflow