CVE-2026-46764
ŚrednieCVSS 4.3Streszczenie
Endpoint szczegółów dziennika zdarzeń `GET /api/v2/eventLogs/{event_log_id}` w Apache Airflow pobierał wiersze dziennika audytu bezpośrednio po identyfikatorze numerycznym, po jedynie ogólnej weryfikacji uprawnień. Użytkownik z uprawnieniami do odczytu dziennika audytu dla jednego Dag mógł uzyskać dostęp do wpisów dziennika audytu dla innych Dag, zgadując lub enumerując numeryczne identyfikatory dzienników zdarzeń.
Ocena ryzyka
Organizacje mogą być narażone na nieautoryzowany dostęp do wrażliwych danych audytowych, co może prowadzić do naruszenia prywatności i bezpieczeństwa informacji. W szczególności, użytkownicy mogą uzyskać dostęp do danych, do których nie powinni mieć dostępu.
Rekomendacja
Zaleca się aktualizację do wersji `apache-airflow` 3.2.2 lub nowszej, aby zabezpieczyć się przed tą podatnością. Należy również przeanalizować i dostosować polityki dostępu do dzienników audytu w organizacji.
Oryginalny opis (angielski, źródło NVD)
The Event Log detail endpoint `GET /api/v2/eventLogs/{event_log_id}` in Apache Airflow fetched audit-log rows directly by numeric ID after only the generic Audit Log permission check, while the collection endpoint `GET /api/v2/eventLogs` applied per-Dag scoping. An authenticated UI/API user with audit-log read permission for one Dag could retrieve audit-log entries for any other Dag by guessing or enumerating the numeric event log ID. Affects deployments that rely on per-Dag audit-log scoping. Users are advised to upgrade to `apache-airflow` 3.2.2 or later.

