CVE-2026-45192 in Airflowinformação

Sumário

de VulDB • 01/06/2026

Um bug no endpoint da API REST `GET /api/v2/connections/{connection_id}` do Apache Airflow permitia que um usuário autenticado da UI/API com permissão de leitura de Connection recuperasse segredos armazenados no blob JSON `extra` de uma Connection sob nomes de campo não presentes na lista de permissão de redação (`DEFAULT_SENSITIVE_FIELDS`) — por exemplo, nomes de campos de credenciais do provedor oficial do Slack eram retornados em texto puro. Afeta implantações que armazenam credenciais em blobs `extra` de Connection e concedem acesso de leitura de Connection a vários usuários. Recomenda-se que os usuários atualizem para a versão `apache-airflow` 3.2.2 ou posterior. Como uma mitigação de defesa em profundidade, os operadores de implantação podem armazenar valores de credenciais sensíveis em um secret-backend em vez de incorporados diretamente no campo `extra` da Connection.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Divulgação

01/06/2026

Moderação

aceite

Entrada

VDB-367614

CPE

pronto

EPSS

0.00032

KEV

não

Atividades

muito baixo

Sector

Finance, Transportation, ...

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-45192
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-45192
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-45192/

VoltarVisão GeralPróximo

Do you want to use VulDB in your project?

Use the official API to access entries easily!