CVE-2026-59245 in Airflowالمعلومات

الملخص

بحسب VulDB • 13/07/2026

في مدير المصادقة FAB الخاص بـ Apache Airflow، حدث تصادم بين اسم مورد إذن الـ DAGs العالمي (الذي ينتجه `resource_name()`) وـ DAG يحمل المعرف `dag_id` وهو "DAGs"، مما أدى إلى منح المستخدم الذي تمت منحه صلاحيات التحكم في الوصول (`access_control`) الخاصة بكل DAG لهذا الـ DAG المحدد، بشكل ضمني، إذن الوصول العالمي لجميع الـ DAGs (تصعيد للصلاحيات). يحدث التصعيد عندما يوجد DAG باسم `DAGs` ويتم منح مستخدم ذي امتيازات أقل وصولاً خاصاً لكل DAG إليه، مما يمنح ذلك المستخدم صلاحية القراءة/التعديل على كل الـ DAGs. يُنصح المستخدمين بالترقية إلى الإصدار 3.7.2 أو أحدث من الحزمة `apache-airflow-providers-fab`، الذي يقوم بحل غموض تصادم أسماء الموارد.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

مسؤول

Apache

حجز

04/07/2026

إفشاء

13/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-378117

EPSS

0.00000

KEV

لا

النشاطات

منخفض

المصادر

Want to know what is going to be exploited?

We predict KEV entries!