PT-2026-57821 · Apache · Apache Airflow Fab Provider
Jarek Potiuk
+1
·
Publicado
2026-07-13
·
Atualizado
2026-07-13
·
CVE-2026-59245
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas
apache-airflow-providers-fab versões anteriores a 3.7.2
Description
No gerenciador de autenticação FAB do Apache Airflow, ocorre uma escalada de privilégios quando um DAG é criado com um
dag id definido como DAGs. Este ID específico entra em conflito com o nome do recurso de permissão global para todos os DAGs gerado pela função resource name(). Consequentemente, um usuário com menos privilégios que receba access control por DAG para esse DAG específico recebe silenciosamente permissões globais, permitindo acesso de leitura e edição a todos os DAGs do sistema.Recommendations
Atualize para o apache-airflow-providers-fab 3.7.2 ou posterior.
Correção
LPE
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Airflow Fab Provider