Plataforma
python
Componente
apache-airflow
Corrigido em
3.2.0
3.2.0
Uma vulnerabilidade foi descoberta no Apache Airflow, afetando versões de 3.0.0 até 3.2.0. Usuários da UI/API com permissão para materializar assets podiam disparar DAGs aos quais não tinham acesso. Os usuários são aconselhados a migrar para o Airflow versão 3.2.0 que corrige a questão.
A vulnerabilidade CVE-2026-32228 no Apache Airflow permite que usuários da UI/API com permissão para materializar ativos (assets) disparem DAGs aos quais não deveriam ter acesso. Isso representa um risco de segurança significativo, pois um usuário mal-intencionado pode executar fluxos de trabalho não autorizados, comprometendo potencialmente dados sensíveis ou interrompendo operações críticas. A severidade desta vulnerabilidade depende do nível de acesso que o usuário com permissão de materialização possui e da sensibilidade dos DAGs que ele pode disparar. A materialização de ativos frequentemente envolve a criação de representações persistentes de objetos, e esta falha explora uma falha no controle de acesso ao disparar DAGs com base nesses ativos.
A vulnerabilidade é acionada quando um usuário com a permissão 'assetmaterialize' tenta materializar um ativo e, como consequência, dispara um DAG ao qual não deveria ter acesso. Este cenário é particularmente preocupante em ambientes onde vários usuários têm diferentes níveis de acesso aos recursos do Airflow. Um atacante pode explorar esta vulnerabilidade para obter acesso a informações confidenciais ou para manipular os fluxos de trabalho do Airflow. A exploração requer que o atacante tenha a permissão 'assetmaterialize', que pode ser concedida inadvertidamente a usuários com privilégios limitados.
Organizations heavily reliant on Apache Airflow for data orchestration and workflow automation are at risk. Specifically, environments where multiple users have asset materialize permissions, or where DAGs are configured with overly permissive access controls, are particularly vulnerable. Shared hosting environments running Airflow also present a heightened risk.
• python / airflow: Check Airflow version using airflow version. Verify user permissions related to asset materialize. Review Airflow logs for unusual DAG triggering activity by users with asset materialize permissions.
• generic web: Monitor Airflow UI for unauthorized DAG executions. Examine Airflow logs for suspicious user activity and error messages related to permission denials.
disclosure
Status do Exploit
EPSS
0.10% (percentil 26%)
A mitigação recomendada para CVE-2026-32228 é atualizar o Apache Airflow para a versão 3.2.0 ou superior. Esta versão inclui uma correção que aborda a falha de controle de acesso que permite a execução não autorizada de DAGs. Recomenda-se fortemente realizar esta atualização o mais rápido possível para proteger seu ambiente Airflow. Antes de atualizar, é crucial fazer um backup completo de sua instalação do Airflow e testar a atualização em um ambiente de teste para garantir a compatibilidade e evitar interrupções inesperadas. Consulte a documentação oficial do Apache Airflow para obter instruções detalhadas sobre como atualizar para a versão 3.2.0.
Actualice Apache Airflow a la versión 3.2.0 o superior para mitigar el riesgo. Esta versión corrige la vulnerabilidad que permite a usuarios con permisos de materialización de activos activar DAGs a los que no deberían tener acceso.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
No Airflow, um 'asset' é uma representação persistente de um objeto, como um arquivo, uma tabela de banco de dados ou um modelo de aprendizado de máquina. É usado para compartilhar dados e resultados entre diferentes DAGs.
Materializar um ativo significa criar uma versão persistente desse ativo, geralmente armazenada em um sistema de arquivos ou um banco de dados.
Não existe uma solução alternativa para mitigar completamente esta vulnerabilidade sem atualizar para a versão 3.2.0 ou superior. Restringir a permissão 'asset_materialize' pode ajudar, mas não é uma solução completa.
Se você estiver usando uma versão do Airflow anterior à 3.2.0, você é vulnerável a esta vulnerabilidade. Consulte a documentação do Airflow para obter informações sobre como identificar sua versão.
Se você suspeitar que seu sistema foi comprometido, deve isolá-lo imediatamente da rede, revisar os registros de auditoria e consultar um especialista em segurança.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.