Katalog CVE

CVE-2026-49486

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.26%

Percentyl 18 — wyżej niż 18% wszystkich znanych CVE

Streszczenie

Podatność w Apache Airflow FTP provider powoduje, że połączenie FTPS nie szyfruje kanału danych. Mimo że kanał kontrolny jest chroniony TLS, dane przesyłane są w postaci jawnej, co umożliwia atakującemu w sieci przechwycenie treści plików i poświadczeń.

Ocena ryzyka

Organizacja naraża się na wyciek poufnych danych przesyłanych przez FTPS, w tym treści plików i poświadczeń, które mogą zostać przechwycone przez atakującego w sieci lokalnej lub pośredniczącej.

Rekomendacja

Należy niezwłocznie zaktualizować pakiet apache-airflow-providers-ftp do wersji 3.15.1 lub nowszej, która domyślnie włącza szyfrowanie kanału danych (PROT P).

Oryginalny opis (angielski, źródło NVD)

The Apache Airflow FTP provider's `FTPSHook.get_conn()` created an `ftplib.FTP_TLS` connection but never called `prot_p()`, so although the control channel was TLS-protected the data channel was transmitted in cleartext. Any deployment using `FTPSHook` or `FTPSFileTransmitOperator` to move files over FTPS exposed file contents and credentials-in-transit to a network attacker able to observe the data connection. Upgrade apache-airflow-providers-ftp to `3.15.1` or later, which issues `PROT P` to encrypt the data channel.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS