Se ha descubierto una vulnerabilidad de severidad alta en productos Apache Airflow. Un actor malicioso podría ejecutar código arbitrario en los sistemas afectados.
Productos afectados
- Apache Airflow: versiones anteriores a la 3.2.2.
Impacto
La vulnerabilidad se ha identificado como:
CVE-2026–45360: con una puntuación de 7.3 en CVSS v3.1. Existe una vulnerabilidad de deserialización de datos no confiables en el decodificador de referencias de fecha límite del programador. Un actor malicioso remoto con permisos de autoría de flujos de trabajo podría incluir estados serializados manipulados para inducir al programador a importar y ejecutar módulos de código arbitrarios, lo que permite la ejecución remota de código en el contexto del proceso del servidor.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias