CVE-2026-40861
MediumCVSS 6.5Summary
Autor Dag może stworzyć dowiązanie symboliczne w katalogu logów zadania, wskazujące na dowolny plik czytelny przez proces serwera API, co prowadzi do ataku typu read-path. Alternatywnie, może dostarczyć `task_id` zawierający sekwencje `..`, co skutkuje atakiem typu write-path, umożliwiającym ujawnienie lub nadpisanie dowolnych plików.
Risk Assessment
Podatność ta stanowi zagrożenie dla organizacji, ponieważ umożliwia nieautoryzowany dostęp do wrażliwych plików lub ich modyfikację, co może prowadzić do poważnych naruszeń bezpieczeństwa. Dotyczy to tylko wdrożeń, w których folder logów roboczych jest współdzielony z serwerem API.
Recommendation
Zaleca się aktualizację do wersji `apache-airflow` 3.2.2 lub nowszej. Dodatkowo, w celu zwiększenia bezpieczeństwa, należy wdrożyć oddzielne wolumeny logów dla serwera API i pracowników, aby ścieżki kontrolowane przez pracowników nie mogły uzyskać dostępu do systemu plików serwera API.
Original NVD description (English source)
A Dag author could either (a) create a symlink under their task's log directory pointing to an arbitrary file readable by the API server process (read-path attack — e.g. `/etc/passwd` or `airflow.cfg`) or (b) supply a `task_id` containing `..` sequences accepted by the Task SDK's `KEY_REGEX` (write-path attack), and in both cases the FileTaskHandler resolves the log path outside the configured `base_log_folder`, leaking or overwriting arbitrary files. Only affects deployments where the worker log folder is shared with the API server. Users are advised to upgrade to `apache-airflow` 3.2.2 or later. As a defense-in-depth mitigation, deploy the worker and API server with separate log volumes so that worker-controlled paths cannot reach the API server's filesystem.

