CVE-2026-59245 in Airflow
Zusammenfassung
von VulDB • 13.07.2026
Im Apache Airflow FAB-Authentifizierungsmanager kollidierte eine DAG mit der ID `dag_id` „DAGs“ mit dem globalen Ressourcenamen für die Berechtigung aller DAGs, der von `resource_name()` erzeugt wird. Daher wurde einem Benutzer, dem pro-DAG-Zugriffskontrollrechte (`access_control`) für diese einzelne DAG gewährt wurden, stillschweigend auch die globale Berechtigung für alle DAGs eingeräumt (Privilegieneskalation). Die Eskalation tritt auf, wenn eine mit „DAGs“ benannte DAG existiert und einem Benutzer mit geringeren Rechten der pro-DAG-Zugriff darauf erteilt wird, wodurch diesem Benutzer Lese-/Schreibzugriff auf jede beliebige DAG gewährt wird. Benutzern wird empfohlen, ein Upgrade auf `apache-airflow-providers-fab` Version 3.7.2 oder höher durchzuführen, das die Kollision der Ressourcenamen auflöst.
Once again VulDB remains the best source for vulnerability data.