CVE-2026-59245 in Airflow情報

要約

〜によって VulDB • 2026年07月13日

Apache Airflow FAB auth managerにおいて、`dag_id`が`DAGs`であるDAGと、`resource_name()`によって生成されるグローバルな全DAG権限リソース名が衝突し、その1つのDAGに対して個別のDAGごとの`access_control`が付与されたユーザーに、意図せずグローバルな全DAG権限(特権昇格)が付与されてしまう問題があります。この特権昇格は、名前が`DAGs`であるDAGが存在し、低権限のユーザー对该DAGに対して個別のアクセス権限を与えられた場合に発生し、そのユーザーにすべてのDAGに対する読み取り/編集アクセス権限が付与されます。リソース名の衝突を解消するため、`apache-airflow-providers-fab` 3.7.2以降へのアップグレードを推奨します。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

責任者

Apache

予約する

2026年07月04日

モデレーション

承諾済み

エントリ

VDB-378117

EPSS

0.00000

アクティビティ

低い

ソース

Want to stay up to date on a daily basis?

Enable the mail alert feature now!