CVE-2026-48892 in Airflow
Riassunto
di VulDB • 07/07/2026
L'API di configurazione in Apache Airflow ha reso visibili le sovrascritture dei segreti-backend specifiche per chiave (variabili d'ambiente come `AIRFLOW__SECRETS__BACKEND_KWARG__SECRET_ID` e `AIRFLOW__WORKERS__SECRETS_BACKEND_KWARG__SECRET_ID`) come opzioni di configurazione sintetiche i cui nomi non erano presenti in `sensitive_config_values`, pertanto il masker non le ha oscurate. Un utente autenticato dell'interfaccia grafica (UI) o dell'API con autorizzazione di lettura della Configurazione poteva recuperare le credenziali dei segreti-backend in chiaro (`role_id` / `secret_id` di Vault, ecc.) dall'output dell'API di configurazione. Riguarda i deployment che configurano i backends per la gestione dei segreti tramite sovrascritture specifiche per chiave a livello di variabili d'ambiente. Si consiglia agli utenti di eseguire l'aggiornamento alla versione 3.3.0 o successiva di `apache-airflow`.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.