Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Apache Airflow (CVE-2024-26280)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
01/03/2024
Última modificación:
13/05/2025

Descripción

Apache Airflow, versiones anteriores a la 2.8.2, tiene una vulnerabilidad que permite a los usuarios autenticados de Ops y Viewers ver toda la información en los registros de auditoría, incluidos los nombres de dag y los nombres de usuario que no tenían permiso para ver. Con 2.8.2 y versiones posteriores, los usuarios de Ops y Viewer no tienen permiso de registro de auditoría de forma predeterminada; se les debe otorgar permisos explícitamente para ver los registros. De forma predeterminada, solo los usuarios administradores tienen permiso de registro de auditoría. Se recomienda a los usuarios de Apache Airflow actualizar a la versión 2.8.2 o posterior para mitigar el riesgo asociado con esta vulnerabilidad.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:apache:airflow:*:*:*:*:*:*:*:* 2.8.2 (excluyendo)