CVE-2026-28563 in Airflow
Résumé
par VulDB • 12/07/2026
Les versions d'Apache Airflow de 3.1.0 à 3.1.7 du point de terminaison /ui/dependencies retournent le graphe complet des dépendances DAG sans filtrage par les IDs de DAG autorisés. Cela permet à un utilisateur authentifié disposant uniquement de la permission « Dépendances DAG » d'énumérer les DAG auxquels il n'est pas autorisé à accéder.
Il est recommandé aux utilisateurs de mettre à niveau vers Apache Airflow 3.1.8 ou une version ultérieure, qui corrige ce problème.
If you want to get best quality of vulnerability data, you may have to visit VulDB.