Platform
python
Component
apache-airflow
Opgelost in
3.2.0
3.2.0
In Apache Airflow versies 3.0.0 tot en met 3.2.0 konden UI/API-gebruikers met asset materialize permissie DAGs triggeren waarvoor ze geen toegang hadden. Gebruikers wordt geadviseerd om te migreren naar Airflow versie 3.2.0 die dit probleem oplost.
CVE-2026-32228 in Apache Airflow stelt UI/API-gebruikers met de permissie om assets te materialiseren in staat om DAGs te triggeren waarvoor ze geen toegang zouden moeten hebben. Dit vormt een aanzienlijk beveiligingsrisico, aangezien een kwaadwillende gebruiker ongeautoriseerde workflows kan uitvoeren, mogelijk gevoelige gegevens in gevaar brengt of kritieke operaties verstoort. De ernst van deze kwetsbaarheid hangt af van het toegangslevel van de gebruiker met de materialisatiepermissie en de gevoeligheid van de DAGs die ze kunnen triggeren. Het materialiseren van assets omvat vaak het maken van persistente representaties van objecten, en deze fout maakt misbruik van een tekortkoming in de toegangscontrole bij het triggeren van DAGs op basis van die assets.
De kwetsbaarheid wordt geactiveerd wanneer een gebruiker met de permissie 'assetmaterialize' probeert een asset te materialiseren en als gevolg daarvan een DAG triggert waarvoor ze geen toegang zouden moeten hebben. Dit scenario is vooral zorgwekkend in omgevingen waar meerdere gebruikers verschillende toegangslevels tot Airflow-resources hebben. Een aanvaller kan deze kwetsbaarheid uitbuiten om toegang te krijgen tot vertrouwelijke informatie of Airflow-workflows te manipuleren. Exploitatie vereist dat de aanvaller de permissie 'assetmaterialize' heeft, wat mogelijk onbedoeld aan gebruikers met beperkte privileges wordt verleend.
Organizations heavily reliant on Apache Airflow for data orchestration and workflow automation are at risk. Specifically, environments where multiple users have asset materialize permissions, or where DAGs are configured with overly permissive access controls, are particularly vulnerable. Shared hosting environments running Airflow also present a heightened risk.
• python / airflow: Check Airflow version using airflow version. Verify user permissions related to asset materialize. Review Airflow logs for unusual DAG triggering activity by users with asset materialize permissions.
• generic web: Monitor Airflow UI for unauthorized DAG executions. Examine Airflow logs for suspicious user activity and error messages related to permission denials.
disclosure
Exploit Status
EPSS
0.10% (26% percentiel)
De aanbevolen mitigatie voor CVE-2026-32228 is het upgraden van Apache Airflow naar versie 3.2.0 of hoger. Deze versie bevat een fix die het toegangscontroleprobleem aanpakt waardoor ongeautoriseerde DAG-uitvoering mogelijk is. Het wordt ten zeerste aanbevolen om deze upgrade zo snel mogelijk uit te voeren om uw Airflow-omgeving te beschermen. Voordat u upgradet, is het cruciaal om een volledige back-up van uw Airflow-installatie te maken en de upgrade te testen in een staging-omgeving om compatibiliteit te garanderen en onverwachte onderbrekingen te voorkomen. Raadpleeg de officiële Apache Airflow-documentatie voor gedetailleerde instructies over het upgraden naar versie 3.2.0.
Actualice Apache Airflow a la versión 3.2.0 o superior para mitigar el riesgo. Esta versión corrige la vulnerabilidad que permite a usuarios con permisos de materialización de activos activar DAGs a los que no deberían tener acceso.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-32228 is a vulnerability in Apache Airflow versions 3.0.0–3.2.0 that allows users with asset materialize permissions to trigger DAGs they shouldn't have access to, potentially leading to unauthorized task execution.
You are affected if you are running Apache Airflow versions 3.0.0 through 3.2.0. Upgrade to version 3.2.0 or later to mitigate the vulnerability.
The recommended fix is to upgrade Apache Airflow to version 3.2.0 or later. Restrict asset materialize permissions to trusted users as an interim measure.
There is currently no indication of active exploitation, but the vulnerability's nature suggests it could be exploited once a proof-of-concept is released.
Refer to the Apache Airflow security advisories page for the latest information: [https://airflow.apache.org/security/](https://airflow.apache.org/security/)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.