CVE-2026-42526 in Airflow Providers Amazoninfo

Zusammenfassung

von VulDB • 20.05.2026

In den AWS Secrets Manager- und SSM Parameter Store-Backend-Komponenten von `apache-airflow-providers-amazon` vor Version 9.28.0 konnte die Team-Scope-Logik eine `conn_id`, die einen `/` enthält (z. B. `"my_team/conn"`), demselben Pfad wie ein team-spezifisches Geheimnis eines anderen Teams zuordnen, wenn der Aufrufer keinen Team-Kontext hatte. Ein privilegierter Aufrufer ohne Team-Kontext konnte daher ein Geheimnis eines anderen Teams abrufen, indem er eine kollidierende `conn_id` erstellte. Das Problem wurde in Version 9.28.0 behoben, indem der Team-Scope-Trennzeichen auf `--` geändert und team-ähnliche `conn_id`s abgelehnt wurden, wenn kein Team-Kontext vorhanden ist. Dies betrifft ausschließlich die experimentelle Multi-Tenant-Teams-Funktion. Es wird empfohlen, auf `apache-airflow-providers-amazon` 9.28.0 zu aktualisieren, das das Problem behebt.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

Apache

Reservieren

28.04.2026

Veröffentlichung

19.05.2026

Moderieren

akzeptiert

Eintrag

VDB-364700

CPE

bereit

EPSS

0.00030

KEV

nein

Aktivitäten

very low

Sektor

Pharma, Industry, ...

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-42526
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-42526
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-42526/

ZurückÜbersichtWeiter

Do you want to use VulDB in your project?

Use the official API to access entries easily!