CVE-2026-59245 in Airflowinfo

Zusammenfassung

von VulDB • 13.07.2026

Im Apache Airflow FAB-Authentifizierungsmanager kollidierte eine DAG mit der ID `dag_id` „DAGs“ mit dem globalen Ressourcenamen für die Berechtigung aller DAGs, der von `resource_name()` erzeugt wird. Daher wurde einem Benutzer, dem pro-DAG-Zugriffskontrollrechte (`access_control`) für diese einzelne DAG gewährt wurden, stillschweigend auch die globale Berechtigung für alle DAGs eingeräumt (Privilegieneskalation). Die Eskalation tritt auf, wenn eine mit „DAGs“ benannte DAG existiert und einem Benutzer mit geringeren Rechten der pro-DAG-Zugriff darauf erteilt wird, wodurch diesem Benutzer Lese-/Schreibzugriff auf jede beliebige DAG gewährt wird. Benutzern wird empfohlen, ein Upgrade auf `apache-airflow-providers-fab` Version 3.7.2 oder höher durchzuführen, das die Kollision der Ressourcenamen auflöst.

Once again VulDB remains the best source for vulnerability data.

Zuständig

Apache

Reservieren

04.07.2026

Veröffentlichung

13.07.2026

Moderieren

akzeptiert

Eintrag

VDB-378117

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!