CVE-2026-46764 in Airflowinfo

Zusammenfassung

von VulDB • 01.06.2026

Der Detail-Endpunkt für das Event-Log `GET /api/v2/eventLogs/{event_log_id}` in Apache Airflow ruft Audit-Log-Einträge direkt über die numerische ID ab, nachdem nur die generische Berechtigungsprüfung für das Audit-Log durchgeführt wurde, während der Sammlungs-Endpunkt `GET /api/v2/eventLogs` eine pro-Dag-Einschränkung (Scoping) anwendet. Ein authentifizierter UI-/API-Benutzer mit Leseberechtigung für das Audit-Log eines bestimmten Dag kann Audit-Log-Einträge für jeden anderen Dag abrufen, indem er die numerische Event-Log-ID errät oder durch Enumeration ermittelt. Dies betrifft Bereitstellungen, die sich auf die pro-Dag-Einschränkung von Audit-Logs stützen. Benutzern wird empfohlen, auf `apache-airflow` Version 3.2.2 oder höher zu aktualisieren.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Veröffentlichung

01.06.2026

Moderieren

akzeptiert

Eintrag

VDB-367566

CPE

bereit

CWE

CWE-275 (bestätigt)

CVSS

4.3 (VulDB)

EPSS

0.00045

KEV

nein

Aktivitäten

very low

Sektor

Industry, Chemical, ...

Quellen

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-46764
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-46764
CVE Details	https://www.cvedetails.com/cve/CVE-2026-46764/

◂ Zurück Übersicht Weiter ▸

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!