CVE-2026-49486
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 18 — wyżej niż 18% wszystkich znanych CVE
Streszczenie
Podatność w Apache Airflow FTP provider powoduje, że połączenie FTPS nie szyfruje kanału danych. Mimo że kanał kontrolny jest chroniony TLS, dane przesyłane są w postaci jawnej, co umożliwia atakującemu w sieci przechwycenie treści plików i poświadczeń.
Ocena ryzyka
Organizacja naraża się na wyciek poufnych danych przesyłanych przez FTPS, w tym treści plików i poświadczeń, które mogą zostać przechwycone przez atakującego w sieci lokalnej lub pośredniczącej.
Rekomendacja
Należy niezwłocznie zaktualizować pakiet apache-airflow-providers-ftp do wersji 3.15.1 lub nowszej, która domyślnie włącza szyfrowanie kanału danych (PROT P).
Oryginalny opis (angielski, źródło NVD)
The Apache Airflow FTP provider's `FTPSHook.get_conn()` created an `ftplib.FTP_TLS` connection but never called `prot_p()`, so although the control channel was TLS-protected the data channel was transmitted in cleartext. Any deployment using `FTPSHook` or `FTPSFileTransmitOperator` to move files over FTPS exposed file contents and credentials-in-transit to a network attacker able to observe the data connection. Upgrade apache-airflow-providers-ftp to `3.15.1` or later, which issues `PROT P` to encrypt the data channel.

