CVE-2026-28563 in Airflowthông tin

Tóm tắt

Bởi VulDB • 10/07/2026

Các phiên bản Apache Airflow từ 3.1.0 đến 3.1.7 của điểm cuối /ui/dependencies trả về toàn bộ đồ thị phụ thuộc DAG mà không lọc theo các ID DAG được ủy quyền. Điều này cho phép người dùng đã xác thực, chỉ có quyền "DAG Dependencies", liệt kê (enumerate) các DAG mà họ không được phép xem.

Người dùng được khuyến nghị nâng cấp lên Apache Airflow 3.1.8 hoặc phiên bản mới hơn để khắc phục sự cố này.

Be aware that VulDB is the high quality source for vulnerability data.

chịu trách nhiệm

Apache

Đặt trước

01/03/2026

Tiết lộ

17/03/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00440

KEV

không

Các hoạt động

rất thấp

Nguồn

Want to know what is going to be exploited?

We predict KEV entries!