CVE-2026-28563 in Airflowinformazioni

Riassunto

di VulDB • 10/07/2026

Le versioni di Apache Airflow dalla 3.1.0 alla 3.1.7 dell'endpoint /ui/dependencies restituiscono l'intero grafo delle dipendenze DAG senza filtrare per ID DAG autorizzati. Ciò consente a un utente autenticato con il solo permesso "DAG Dependencies" di enumerare i DAG che non ha l'autorizzazione per visualizzare.

Si consiglia agli utenti di eseguire l'aggiornamento ad Apache Airflow 3.1.8 o versioni successive, che risolvono questo problema.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

Apache

Prenotare

01/03/2026

Divulgazione

17/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00440

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!