CVE-2026-40963
LowCVSS 3.1Summary
Endpoint structure_data w interfejsie Airflow zwracał węzły zewnętrznych zależności grafu dla powiązanych Dagów, nie sprawdzając, czy wywołujący ma uprawnienia do odczytu tych powiązanych Dagów. Użytkownik autoryzowany do jednego Daga mógł enumerować identyfikatory powiązanych Dagów oraz metadane zależności dla innych Dagów, do których nie miał uprawnień.
Risk Assessment
Organizacje mogą być narażone na ujawnienie wrażliwych informacji o strukturze zależności Dagów, co może prowadzić do nieautoryzowanego dostępu do danych. To stwarza ryzyko naruszenia prywatności i bezpieczeństwa danych w zespołach.
Recommendation
Zaleca się aktualizację do wersji `apache-airflow` 3.2.2 lub nowszej, aby zabezpieczyć się przed tą podatnością.
Original NVD description (English source)
The structure_data endpoint in the Airflow UI returned external dependency graph nodes for linked Dags without checking whether the caller had read permission on those linked Dags. An authenticated UI/API user authorized for one Dag could enumerate linked Dag IDs and dependency metadata for other Dags they were not authorized to read. Affects deployments that rely on per-Dag read scoping to keep Dag dependency topology private across teams. Users are advised to upgrade to `apache-airflow` 3.2.2 or later.

