CVE-2026-40963
NiskieCVSS 3.1Streszczenie
Endpoint structure_data w interfejsie Airflow zwracał węzły zewnętrznych zależności grafu dla powiązanych Dagów, nie sprawdzając, czy wywołujący ma uprawnienia do odczytu tych powiązanych Dagów. Użytkownik autoryzowany do jednego Daga mógł enumerować identyfikatory powiązanych Dagów oraz metadane zależności dla innych Dagów, do których nie miał uprawnień.
Ocena ryzyka
Organizacje mogą być narażone na ujawnienie wrażliwych informacji o strukturze zależności Dagów, co może prowadzić do nieautoryzowanego dostępu do danych. To stwarza ryzyko naruszenia prywatności i bezpieczeństwa danych w zespołach.
Rekomendacja
Zaleca się aktualizację do wersji `apache-airflow` 3.2.2 lub nowszej, aby zabezpieczyć się przed tą podatnością.
Oryginalny opis (angielski, źródło NVD)
The structure_data endpoint in the Airflow UI returned external dependency graph nodes for linked Dags without checking whether the caller had read permission on those linked Dags. An authenticated UI/API user authorized for one Dag could enumerate linked Dag IDs and dependency metadata for other Dags they were not authorized to read. Affects deployments that rely on per-Dag read scoping to keep Dag dependency topology private across teams. Users are advised to upgrade to `apache-airflow` 3.2.2 or later.

