CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-46764

MediumCVSS 4.3
Published: Updated: Translated: NVD NIST

Summary

Endpoint szczegółów dziennika zdarzeń `GET /api/v2/eventLogs/{event_log_id}` w Apache Airflow pobierał wiersze dziennika audytu bezpośrednio po identyfikatorze numerycznym, po jedynie ogólnej weryfikacji uprawnień. Użytkownik z uprawnieniami do odczytu dziennika audytu dla jednego Dag mógł uzyskać dostęp do wpisów dziennika audytu dla innych Dag, zgadując lub enumerując numeryczne identyfikatory dzienników zdarzeń.

Risk Assessment

Organizacje mogą być narażone na nieautoryzowany dostęp do wrażliwych danych audytowych, co może prowadzić do naruszenia prywatności i bezpieczeństwa informacji. W szczególności, użytkownicy mogą uzyskać dostęp do danych, do których nie powinni mieć dostępu.

Recommendation

Zaleca się aktualizację do wersji `apache-airflow` 3.2.2 lub nowszej, aby zabezpieczyć się przed tą podatnością. Należy również przeanalizować i dostosować polityki dostępu do dzienników audytu w organizacji.

Original NVD description (English source)

The Event Log detail endpoint `GET /api/v2/eventLogs/{event_log_id}` in Apache Airflow fetched audit-log rows directly by numeric ID after only the generic Audit Log permission check, while the collection endpoint `GET /api/v2/eventLogs` applied per-Dag scoping. An authenticated UI/API user with audit-log read permission for one Dag could retrieve audit-log entries for any other Dag by guessing or enumerating the numeric event log ID. Affects deployments that rely on per-Dag audit-log scoping. Users are advised to upgrade to `apache-airflow` 3.2.2 or later.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS