Plattform
python
Komponente
apache-airflow
Behoben in
3.2.0
3.2.0
CVE-2026-32228 describes an authorization bypass vulnerability discovered in Apache Airflow. This flaw allows a user with asset materialize permissions to trigger Directed Acyclic Graphs (DAGs) that they should not have access to, potentially leading to unauthorized task execution and data manipulation. The vulnerability affects versions 3.0.0 through 3.2.0 and is resolved in version 3.2.0.
CVE-2026-32228 in Apache Airflow ermöglicht UI/API-Benutzern mit der Berechtigung, Assets zu materialisieren, DAGs auszulösen, auf die sie keinen Zugriff haben sollten. Dies stellt ein erhebliches Sicherheitsrisiko dar, da ein böswilliger Benutzer nicht autorisierte Workflows ausführen könnte, wodurch möglicherweise sensible Daten kompromittiert oder kritische Abläufe unterbrochen werden. Die Schwere dieser Schwachstelle hängt vom Zugriffsniveau des Benutzers mit der Materialisierungsberechtigung und der Sensibilität der DAGs ab, die er auslösen kann. Die Materialisierung von Assets beinhaltet oft die Erstellung persistenter Darstellungen von Objekten, und dieser Fehler nutzt einen Fehler in der Zugriffskontrolle beim Auslösen von DAGs ausnutzt, die auf diesen Assets basieren.
Die Schwachstelle wird ausgelöst, wenn ein Benutzer mit der Berechtigung 'assetmaterialize' versucht, ein Asset zu materialisieren und infolgedessen einen DAG auslöst, auf den er keinen Zugriff haben sollte. Dieses Szenario ist besonders besorgniserregend in Umgebungen, in denen mehrere Benutzer unterschiedliche Zugriffsebenen auf Airflow-Ressourcen haben. Ein Angreifer könnte diese Schwachstelle ausnutzen, um Zugriff auf vertrauliche Informationen zu erhalten oder Airflow-Workflows zu manipulieren. Die Ausnutzung erfordert, dass der Angreifer die Berechtigung 'assetmaterialize' besitzt, die möglicherweise unbeabsichtigt Benutzern mit begrenzten Privilegien gewährt wird.
Organizations heavily reliant on Apache Airflow for data orchestration and workflow automation are at risk. Specifically, environments where multiple users have asset materialize permissions, or where DAGs are configured with overly permissive access controls, are particularly vulnerable. Shared hosting environments running Airflow also present a heightened risk.
• python / airflow: Check Airflow version using airflow version. Verify user permissions related to asset materialize. Review Airflow logs for unusual DAG triggering activity by users with asset materialize permissions.
• generic web: Monitor Airflow UI for unauthorized DAG executions. Examine Airflow logs for suspicious user activity and error messages related to permission denials.
disclosure
Exploit-Status
EPSS
0.10% (26% Perzentil)
Die empfohlene Abhilfe für CVE-2026-32228 ist die Aktualisierung von Apache Airflow auf Version 3.2.0 oder höher. Diese Version enthält eine Korrektur, die den Zugriffskontrollfehler behebt, der die unautorisierte Ausführung von DAGs ermöglicht. Es wird dringend empfohlen, diese Aktualisierung so schnell wie möglich durchzuführen, um Ihre Airflow-Umgebung zu schützen. Bevor Sie aktualisieren, ist es entscheidend, ein vollständiges Backup Ihrer Airflow-Installation durchzuführen und die Aktualisierung in einer Staging-Umgebung zu testen, um die Kompatibilität zu gewährleisten und unerwartete Unterbrechungen zu vermeiden. Sehen Sie in der offiziellen Apache Airflow-Dokumentation nach detaillierten Anweisungen zur Aktualisierung auf Version 3.2.0.
Actualice Apache Airflow a la versión 3.2.0 o superior para mitigar el riesgo. Esta versión corrige la vulnerabilidad que permite a usuarios con permisos de materialización de activos activar DAGs a los que no deberían tener acceso.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
CVE-2026-32228 is a vulnerability in Apache Airflow versions 3.0.0–3.2.0 that allows users with asset materialize permissions to trigger DAGs they shouldn't have access to, potentially leading to unauthorized task execution.
You are affected if you are running Apache Airflow versions 3.0.0 through 3.2.0. Upgrade to version 3.2.0 or later to mitigate the vulnerability.
The recommended fix is to upgrade Apache Airflow to version 3.2.0 or later. Restrict asset materialize permissions to trusted users as an interim measure.
There is currently no indication of active exploitation, but the vulnerability's nature suggests it could be exploited once a proof-of-concept is released.
Refer to the Apache Airflow security advisories page for the latest information: [https://airflow.apache.org/security/](https://airflow.apache.org/security/)
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine requirements.txt-Datei hoch und wir sagen dir sofort, ob du betroffen bist.