PT-2026-57821 · Apache · Apache Airflow Fab Provider

Jarek Potiuk

+1

·

Publicado

2026-07-13

·

Atualizado

2026-07-13

·

CVE-2026-59245

CVSS v3.1

8.1

Alta

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
Nome do Software Vulnerável e Versões Afetadas apache-airflow-providers-fab versões anteriores a 3.7.2
Description No gerenciador de autenticação FAB do Apache Airflow, ocorre uma escalada de privilégios quando um DAG é criado com um dag id definido como DAGs. Este ID específico entra em conflito com o nome do recurso de permissão global para todos os DAGs gerado pela função resource name(). Consequentemente, um usuário com menos privilégios que receba access control por DAG para esse DAG específico recebe silenciosamente permissões globais, permitindo acesso de leitura e edição a todos os DAGs do sistema.
Recommendations Atualize para o apache-airflow-providers-fab 3.7.2 ou posterior.

Correção

LPE

Improper Privilege Management

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-59245

Produtos afetados

Apache Airflow Fab Provider