Katalog CVE

CVE-2026-50203

KrytyczneCVSS 9.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.22%

Percentyl 12 — wyżej niż 12% wszystkich znanych CVE

Streszczenie

Wykryto podatność typu path traversal w dostawcy SFTP, która pozwala złośliwemu lub skompromitowanemu zdalnemu serwerowi SFTP na zapis plików poza skonfigurowanym lokalnym katalogiem docelowym. Atak nie wymaga konta Airflow i dotyczy każdej instalacji pobierającej katalogi z nieufnego serwera SFTP.

Ocena ryzyka

Organizacje mogą być narażone na nieautoryzowany dostęp do systemów plików, co może prowadzić do utraty danych lub wprowadzenia złośliwego oprogramowania.

Rekomendacja

Zaleca się aktualizację pakietu `apache-airflow-providers-sftp` do wersji 5.8.1 lub nowszej, aby zlikwidować tę podatność.

Oryginalny opis (angielski, źródło NVD)

A path traversal in the SFTP provider (`SFTPHook.retrieve_directory` / `SFTPOperator(operation=get)`) let a malicious or compromised remote SFTP server write files outside the configured local destination directory via crafted directory-entry names. No Airflow account is required — the attack surface is any deployment downloading directories from an untrusted SFTP server. Upgrade `apache-airflow-providers-sftp` to 5.8.1 or later.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS