PT-2026-56180 · Apache · Apache Airflow

Andrew Rukin

+1

·

Publicado

2026-07-07

·

Atualizado

2026-07-07

·

CVE-2026-49487

CVSS v3.1

6.5

Média

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Nome do Software Vulnerável e Versões Afetadas Apache Airflow versões anteriores a 3.3.0
Description Os endpoints de detalhamento e listagem de instâncias de tarefa da REST API retornam os trigger kwargs de uma tarefa adiada sem mascaramento. Isso permite que qualquer usuário autenticado com acesso de leitura de instância de tarefa com escopo de DAG visualize informações sensíveis, como chaves de API de provedores, em texto claro enquanto a tarefa estiver adiada.
Recommendations Atualize para a versão 3.3.0 ou posterior.

Correção

Information Disclosure

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-49487

Produtos afetados

Apache Airflow