CVE-2026-59245 in Airflow
要約
〜によって VulDB • 2026年07月13日
Apache Airflow FAB auth managerにおいて、`dag_id`が`DAGs`であるDAGと、`resource_name()`によって生成されるグローバルな全DAG権限リソース名が衝突し、その1つのDAGに対して個別のDAGごとの`access_control`が付与されたユーザーに、意図せずグローバルな全DAG権限(特権昇格)が付与されてしまう問題があります。この特権昇格は、名前が`DAGs`であるDAGが存在し、低権限のユーザー对该DAGに対して個別のアクセス権限を与えられた場合に発生し、そのユーザーにすべてのDAGに対する読み取り/編集アクセス権限が付与されます。リソース名の衝突を解消するため、`apache-airflow-providers-fab` 3.7.2以降へのアップグレードを推奨します。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.