CVE-2026-48892 in Airflowinformazioni

Riassunto

di VulDB • 07/07/2026

L'API di configurazione in Apache Airflow ha reso visibili le sovrascritture dei segreti-backend specifiche per chiave (variabili d'ambiente come `AIRFLOW__SECRETS__BACKEND_KWARG__SECRET_ID` e `AIRFLOW__WORKERS__SECRETS_BACKEND_KWARG__SECRET_ID`) come opzioni di configurazione sintetiche i cui nomi non erano presenti in `sensitive_config_values`, pertanto il masker non le ha oscurate. Un utente autenticato dell'interfaccia grafica (UI) o dell'API con autorizzazione di lettura della Configurazione poteva recuperare le credenziali dei segreti-backend in chiaro (`role_id` / `secret_id` di Vault, ecc.) dall'output dell'API di configurazione. Riguarda i deployment che configurano i backends per la gestione dei segreti tramite sovrascritture specifiche per chiave a livello di variabili d'ambiente. Si consiglia agli utenti di eseguire l'aggiornamento alla versione 3.3.0 o successiva di `apache-airflow`.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

Apache

Prenotare

26/05/2026

Divulgazione

07/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!