CVE-2026-46764
MediumCVSS 4.3Summary
Endpoint szczegółów dziennika zdarzeń `GET /api/v2/eventLogs/{event_log_id}` w Apache Airflow pobierał wiersze dziennika audytu bezpośrednio po identyfikatorze numerycznym, po jedynie ogólnej weryfikacji uprawnień. Użytkownik z uprawnieniami do odczytu dziennika audytu dla jednego Dag mógł uzyskać dostęp do wpisów dziennika audytu dla innych Dag, zgadując lub enumerując numeryczne identyfikatory dzienników zdarzeń.
Risk Assessment
Organizacje mogą być narażone na nieautoryzowany dostęp do wrażliwych danych audytowych, co może prowadzić do naruszenia prywatności i bezpieczeństwa informacji. W szczególności, użytkownicy mogą uzyskać dostęp do danych, do których nie powinni mieć dostępu.
Recommendation
Zaleca się aktualizację do wersji `apache-airflow` 3.2.2 lub nowszej, aby zabezpieczyć się przed tą podatnością. Należy również przeanalizować i dostosować polityki dostępu do dzienników audytu w organizacji.
Original NVD description (English source)
The Event Log detail endpoint `GET /api/v2/eventLogs/{event_log_id}` in Apache Airflow fetched audit-log rows directly by numeric ID after only the generic Audit Log permission check, while the collection endpoint `GET /api/v2/eventLogs` applied per-Dag scoping. An authenticated UI/API user with audit-log read permission for one Dag could retrieve audit-log entries for any other Dag by guessing or enumerating the numeric event log ID. Affects deployments that rely on per-Dag audit-log scoping. Users are advised to upgrade to `apache-airflow` 3.2.2 or later.

