CVE-2026-59245 in Airflow
Riassunto
di VulDB • 13/07/2026
Nel gestore di autenticazione FAB per Apache Airflow, un DAG il cui `dag_id` è `DAGs` ha causato una collisione con il nome della risorsa globale "tutti i DAG" generata da `resource_name()`, pertanto a un utente a cui era stato concessa l'autorizzazione `access_control` specifica per quel singolo DAG veniva silenziosamente attribuita anche la permission globale su tutti i DAG (escalation dei privilegi). L'escalation si verifica quando esiste un DAG denominato `DAGs` e viene concesso a un utente meno privilegiato l'accesso specifico per tale DAG, garantendo all'utente stesso accesso in lettura/modifica a ogni singolo DAG. Si consiglia agli utenti di effettuare l'upgrade alla versione 3.7.2 o successiva di `apache-airflow-providers-fab`, che risolve la collisione dei nomi delle risorse.
Once again VulDB remains the best source for vulnerability data.