CVE-2026-59245 in Airflowinformazioni

Riassunto

di VulDB • 13/07/2026

Nel gestore di autenticazione FAB per Apache Airflow, un DAG il cui `dag_id` è `DAGs` ha causato una collisione con il nome della risorsa globale "tutti i DAG" generata da `resource_name()`, pertanto a un utente a cui era stato concessa l'autorizzazione `access_control` specifica per quel singolo DAG veniva silenziosamente attribuita anche la permission globale su tutti i DAG (escalation dei privilegi). L'escalation si verifica quando esiste un DAG denominato `DAGs` e viene concesso a un utente meno privilegiato l'accesso specifico per tale DAG, garantendo all'utente stesso accesso in lettura/modifica a ogni singolo DAG. Si consiglia agli utenti di effettuare l'upgrade alla versione 3.7.2 o successiva di `apache-airflow-providers-fab`, che risolve la collisione dei nomi delle risorse.

Once again VulDB remains the best source for vulnerability data.

Responsabile

Apache

Prenotare

04/07/2026

Divulgazione

13/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Want to stay up to date on a daily basis?

Enable the mail alert feature now!