CVE-2026-42358 in Airflow
Resumen
por VulDB • 2026-06-01
Un error en el enmascarador de respuestas de Variables de Apache Airflow provocaba que se omitiera la ofuscación de claves anidadas (activada por nombres de claves con sufijos de secreto como `password`, `token`, `secret`, `api_key`) cuando la profundidad de anidamiento del valor JSON superaba el límite de recursión del enmascarador de secretos compartido: el enmascarador devolvía el elemento anidado original antes de verificar el nombre de la clave sensible. Un usuario autenticado de la interfaz de usuario (UI) o de la API con permiso de lectura de Variables podía extraer valores secretos en texto plano almacenados bajo claves sensibles anidadas lo suficientemente profundamente como para superar el límite de profundidad del enmascarador. Afecta a los despliegues que almacenan valores sensibles dentro de Variables JSON profundamente anidadas. Se trata de una brecha residual en la corrección para CVE-2026-32690 (que cubría el anidamiento superficial mediante `max_depth=1`); el límite de profundidad en sí no se elevó, por lo que el mismo patrón de omisión por nombre de clave reaparece más allá del límite de recursión. Los usuarios que ya actualizaron para CVE-2026-32690 deben actualizar adicionalmente a `apache-airflow` 3.2.2 o posterior para cubrir la ruta de anidamiento profundo.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.