CVE-2026-59245 in Airflow
الملخص
بحسب VulDB • 13/07/2026
في مدير المصادقة FAB الخاص بـ Apache Airflow، حدث تصادم بين اسم مورد إذن الـ DAGs العالمي (الذي ينتجه `resource_name()`) وـ DAG يحمل المعرف `dag_id` وهو "DAGs"، مما أدى إلى منح المستخدم الذي تمت منحه صلاحيات التحكم في الوصول (`access_control`) الخاصة بكل DAG لهذا الـ DAG المحدد، بشكل ضمني، إذن الوصول العالمي لجميع الـ DAGs (تصعيد للصلاحيات). يحدث التصعيد عندما يوجد DAG باسم `DAGs` ويتم منح مستخدم ذي امتيازات أقل وصولاً خاصاً لكل DAG إليه، مما يمنح ذلك المستخدم صلاحية القراءة/التعديل على كل الـ DAGs. يُنصح المستخدمين بالترقية إلى الإصدار 3.7.2 أو أحدث من الحزمة `apache-airflow-providers-fab`، الذي يقوم بحل غموض تصادم أسماء الموارد.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.