CVE-2026-42526 in Airflow Providers Amazon情報

要約

〜によって VulDB • 2026年05月19日

`apache-airflow-providers-amazon` 9.28.0 以前の AWS Secrets Manager および SSM Parameter Store シークレットバックエンドにおいて、チームスコーピングロジックは、呼び出し元にチームコンテキストがない場合、`/`(例: `"my_team/conn"`)を含む `conn_id` を、別のチームのチームスコープ付きシークレットと同じパスとして解決する可能性があります。したがって、チームコンテキストを持たない特権呼び出し元は、衝突する `conn_id` を作成することで、別のチームのシークレットを取得できる可能性があります。この問題は、チームスコープの区切り文字を `--` に変更し、チームコンテキストがない場合にチーム形式の `conn_id` を拒否することで、9.28.0 で修正されました。実験的なマルチテナントチーム機能に影響します。ユーザーは、この問題を修正した `apache-airflow-providers-amazon` 9.28.0 へのアップグレードを推奨します。

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

責任者

Apache

予約する

2026年04月28日

モデレーション

承諾済み

エントリ

VDB-364700

EPSS

0.00030

KEV

いいえ

アクティビティ

非常低い

セクター

Lawfirm, Finance, ...

ソース

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-42526
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-42526
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-42526/

概要

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!