Plataforma
python
Componente
apache-airflow
Corrigido em
3.2.0
3.2.0
O CVE-2026-34538 afeta o Apache Airflow, expondo valores XCom através do endpoint DagRun wait, mesmo para usuários com permissões de leitura (Viewer). Essa vulnerabilidade contorna o modelo de controle de acesso baseado em função (FAB RBAC) do Airflow, permitindo que usuários não autorizados acessem informações sensíveis. Versões afetadas incluem as 3.0.0 até a 3.1.8, bem como a versão de pré-lançamento 3.2.0rc2. A correção está disponível na versão 3.2.0.
A principal consequência desta vulnerabilidade é a violação do modelo de segurança do Airflow. Usuários com permissões de leitura, como o papel Viewer, podem acessar valores XCom que deveriam ser protegidos. XComs frequentemente contêm dados sensíveis, como credenciais de banco de dados, chaves de API ou informações confidenciais de processamento. O acesso não autorizado a esses dados pode levar a roubo de informações, comprometimento de sistemas e, potencialmente, a ataques de escalonamento de privilégios. A exploração bem-sucedida pode permitir que um atacante obtenha informações sobre o fluxo de trabalho do Airflow, identifique pontos fracos e planeje ataques mais sofisticados. O blast radius é limitado ao acesso aos dados XCom, mas o impacto pode ser significativo dependendo da sensibilidade das informações armazenadas.
A vulnerabilidade foi publicada em 2026-04-09. A probabilidade de exploração é considerada média, dada a natureza da vulnerabilidade e a sua exposição através de um endpoint acessível. Não há indicações de que esta vulnerabilidade esteja sendo ativamente explorada em campanhas direcionadas no momento da publicação. Não há informações disponíveis sobre a inclusão desta vulnerabilidade no KEV (Known Exploited Vulnerabilities) ou EPSS (Early Production Support Service). Consulte o NVD (National Vulnerability Database) e o CISA (Cybersecurity and Infrastructure Security Agency) para obter atualizações e informações adicionais.
Organizations utilizing Apache Airflow with deployments that grant the Viewer role access to DAG Runs are particularly at risk. This includes environments leveraging shared hosting services where multiple users may have access to the same Airflow instance. Legacy Airflow configurations that haven't been regularly reviewed for security best practices are also vulnerable.
• python / airflow:
import airflow
# Check Airflow version
print(airflow.__version__)
# If version is <= 3.1.8, the vulnerability is present.• linux / server:
# Check for Airflow processes
ps aux | grep airflow
# Review Airflow logs for unauthorized access attempts to the DagRun wait endpoint.
journalctl -u airflow -f | grep "DagRun wait endpoint"• generic web:
curl -I http://<airflow_host>/api/v1/dags/<dag_id>/dagRuns/<dag_run_id>/xcom
# Check the response headers for any unusual access patterns or unauthorized requests.disclosure
Status do Exploit
EPSS
0.04% (percentil 12%)
Vetor CVSS
A mitigação primária para o CVE-2026-34538 é a atualização para a versão 3.2.0 do Apache Airflow, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de controle de acesso mais rigorosas para restringir o acesso ao endpoint DagRun wait. Implemente regras de firewall ou WAF (Web Application Firewall) para bloquear solicitações não autorizadas ao endpoint. Revise as permissões dos usuários e grupos, garantindo que apenas usuários autorizados tenham acesso aos dados XCom. Após a atualização para a versão 3.2.0, verifique se o acesso aos valores XCom está corretamente restrito aos usuários com as permissões apropriadas, testando com diferentes papéis de usuário.
Actualice Apache Airflow a la versión 3.2.0 o posterior para solucionar la vulnerabilidad. Esta actualización corrige el problema de exposición de XCom al permitir que los usuarios con permisos de solo lectura de DagRun accedan a los resultados de XCom, lo que contraviene el modelo de control de acceso basado en roles (RBAC) de FAB.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade no Apache Airflow que permite o acesso não autorizado a valores XCom, mesmo para usuários com permissões de leitura, devido a uma falha no endpoint DagRun wait.
Se você estiver usando o Apache Airflow nas versões 3.0.0 até 3.1.8 ou a versão de pré-lançamento 3.2.0rc2, você está potencialmente afetado.
A correção é atualizar o Apache Airflow para a versão 3.2.0 ou superior. Se a atualização não for imediata, implemente controles de acesso mais rigorosos.
Não há evidências de exploração ativa no momento da publicação, mas a probabilidade de exploração é considerada média.
Consulte o NVD (National Vulnerability Database) e o CISA (Cybersecurity and Infrastructure Security Agency) para obter informações adicionais e atualizações sobre esta vulnerabilidade.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.