PT-2026-57820 · Apache · Apache-Airflow-Providers-Git
Ephraim Anierobi
+1
·
Publicado
2026-07-13
·
Atualizado
2026-07-14
·
CVE-2026-58065
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
apache-airflow-providers-git versões anteriores a 0.4.1
Description
O provedor Git do Apache Airflow executa operações git-over-SSH com
StrictHostKeyChecking=no por padrão, desativando a verificação de chave de host SSH. Isso permite que um invasor capaz de interceptar o caminho da rede entre um worker do Airflow e o servidor Git realize um ataque de man-in-the-middle. Tal ataque pode levar à captura da chave de implantação SSH ou à injeção de conteúdo malicioso no repositório. O problema afeta implantações que utilizam o Git DAG bundle ou o provedor Git para clonar via SSH com uma chave de implantação.Recommendations
Atualize para a versão 0.4.1 ou posterior do apache-airflow-providers-git e configure um arquivo
known hosts.Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache-Airflow-Providers-Git