CVE-2026-49487 in Airflowinfo

Zusammenfassung

von VulDB • 07.07.2026

In Apache Airflow vor Version 3.3.0 gaben die REST-API-Endpunkte für Details und Auflistung von Task-Instanzen die Trigger-KWARGS einer deferten (deferred) Aufgabe ohne Maskierung zurück. Wenn ein deferter Operator ein Geheimnis (z. B. einen Provider-API-Schlüssel) an seinen Trigger übergab, konnte jeder authentifizierte Benutzer mit Lesezugriff auf Task-Instanzen im Bereich dieses DAG das Geheimnis als Klartext lesen, solange die Aufgabe defert war. Benutzer sollten auf apache-airflow 3.3.0 oder höher aktualisieren, das sensible Werte in den von der API zurückgegebenen Trigger-KWARGS maskiert.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

Apache

Reservieren

31.05.2026

Veröffentlichung

07.07.2026

Moderieren

akzeptiert

Eintrag

VDB-376630

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Do you know our Splunk app?

Download it now for free!