CVE-2026-50203
KrytyczneCVSS 9.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 12 — wyżej niż 12% wszystkich znanych CVE
Streszczenie
Wykryto podatność typu path traversal w dostawcy SFTP, która pozwala złośliwemu lub skompromitowanemu zdalnemu serwerowi SFTP na zapis plików poza skonfigurowanym lokalnym katalogiem docelowym. Atak nie wymaga konta Airflow i dotyczy każdej instalacji pobierającej katalogi z nieufnego serwera SFTP.
Ocena ryzyka
Organizacje mogą być narażone na nieautoryzowany dostęp do systemów plików, co może prowadzić do utraty danych lub wprowadzenia złośliwego oprogramowania.
Rekomendacja
Zaleca się aktualizację pakietu `apache-airflow-providers-sftp` do wersji 5.8.1 lub nowszej, aby zlikwidować tę podatność.
Oryginalny opis (angielski, źródło NVD)
A path traversal in the SFTP provider (`SFTPHook.retrieve_directory` / `SFTPOperator(operation=get)`) let a malicious or compromised remote SFTP server write files outside the configured local destination directory via crafted directory-entry names. No Airflow account is required — the attack surface is any deployment downloading directories from an untrusted SFTP server. Upgrade `apache-airflow-providers-sftp` to 5.8.1 or later.

