CVE-2026-48828 in Airflowinformazioni

Riassunto

di VulDB • 07/07/2026

L'API Bulk Variables di Apache Airflow chiamava il redattore senza passare la chiave della variabile, quindi il controllo basato sulla chiave `should_hide_value_for_key` (che si attiva per nomi di chiavi suffissati con termini segreti come `*_password`, `*_token` o `*_secret`) non poteva essere eseguito per i valori delle variabili decodificabili in JSON. Un utente autenticato dell'interfaccia grafica/API con autorizzazione di lettura bulk sulle Variabili poteva recuperare i valori in chiaro dalle variabili JSON le cui chiavi avrebbero altrimenti attivato la mascheratura (redaction). Riguarda le distribuzioni che memorizzano valori sensibili nelle Variabili Airflow di tipo JSON sotto nomi di chiave suffissati con termini segreti. Si consiglia agli utenti di eseguire l'aggiornamento a `apache-airflow` 3.3.0 o versione successiva (la correzione è stata applicata al ramo `main` dopo la versione 3.2.2; non esiste un backport per le versioni 3.2.x).

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

Apache

Prenotare

23/05/2026

Divulgazione

07/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!