CVE-2026-42359
HighCVSS 8.8Summary
Błąd w punkcie końcowym PATCH XCom w Apache Airflow (`PATCH /api/v2/xcomEntries/{key}`) pozwalał uwierzytelnionemu użytkownikowi z uprawnieniami do zapisu XCom na Dag na ustawienie wpisów XCom pod zarezerwowanymi nazwami kluczy, co prowadziło do możliwości zdalnego wykonania kodu (RCE). Problem ten dotyczy wdrożeń, w których nieufni użytkownicy mają uprawnienia do zapisu XCom na Dagach, które odwołują się do wywołującego.
Risk Assessment
Organizacje mogą być narażone na zdalne wykonanie kodu przez nieautoryzowanych użytkowników, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych. Wdrożenia, które nie zaktualizowały się do wersji 3.2.2 lub nowszej, są szczególnie zagrożone.
Recommendation
Zaleca się aktualizację do wersji `apache-airflow` 3.2.2 lub nowszej, aby zabezpieczyć się przed obejściem walidacji kluczy zarezerwowanych w punkcie końcowym PATCH. Należy również przeanalizować uprawnienia użytkowników do zapisu XCom na Dagach.
Original NVD description (English source)
A bug in Apache Airflow's XCom PATCH endpoint `PATCH /api/v2/xcomEntries/{key}` allowed an authenticated UI/API user with XCom write permission on a Dag to set XCom entries under reserved key names (e.g. `return_value`) that the matching POST endpoint already validated against `FORBIDDEN_XCOM_KEYS`. The endpoint also accepted serialized payload shapes the triggerer's deserializer treats as code; combined, this allowed RCE on the triggerer when the affected task next deferred. Affects deployments where untrusted users have XCom write permission on Dags that defer to the triggerer. This is a fix-bypass of CVE-2026-33858: PR #64148 added the `FORBIDDEN_XCOM_KEYS` validator only on the POST/set path; the PATCH path was not covered. Users who already upgraded for CVE-2026-33858 should additionally upgrade to `apache-airflow` 3.2.2 or later to cover the PATCH-path bypass.

