Katalog CVE

CVE-2026-40963

NiskieCVSS 3.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Endpoint structure_data w interfejsie Airflow zwracał węzły zewnętrznych zależności grafu dla powiązanych Dagów, nie sprawdzając, czy wywołujący ma uprawnienia do odczytu tych powiązanych Dagów. Użytkownik autoryzowany do jednego Daga mógł enumerować identyfikatory powiązanych Dagów oraz metadane zależności dla innych Dagów, do których nie miał uprawnień.

Ocena ryzyka

Organizacje mogą być narażone na ujawnienie wrażliwych informacji o strukturze zależności Dagów, co może prowadzić do nieautoryzowanego dostępu do danych. To stwarza ryzyko naruszenia prywatności i bezpieczeństwa danych w zespołach.

Rekomendacja

Zaleca się aktualizację do wersji `apache-airflow` 3.2.2 lub nowszej, aby zabezpieczyć się przed tą podatnością.

Oryginalny opis (angielski, źródło NVD)

The structure_data endpoint in the Airflow UI returned external dependency graph nodes for linked Dags without checking whether the caller had read permission on those linked Dags. An authenticated UI/API user authorized for one Dag could enumerate linked Dag IDs and dependency metadata for other Dags they were not authorized to read. Affects deployments that rely on per-Dag read scoping to keep Dag dependency topology private across teams. Users are advised to upgrade to `apache-airflow` 3.2.2 or later.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS