Multiple high-severity vulnerabilities (CVSS 8.8) in Apache Airflow and the Airflow Keycloak Provider allow an authenticated remote attacker to execute arbitrary code, bypass security controls, manipulate data, and disclose sensitive information. The flaws affect Apache Airflow versions prior to 3.2.0 and Apache Airflow Keycloak Provider versions prior to 0.7.0. A mitigation is available, and users should upgrade to Apache Airflow 3.2.0 and Airflow Keycloak Provider 0.7.0.
[WID-SEC-2026-1168] Apache Airflow und Apache Airflow Keycloak Provider: Mehrere Schwachstellen CVSS Base Score 8.8 (hoch) CVSS Temporal Score 7.7 (hoch) Remoteangriff ja Datum 19.04.2026 Stand 20.04.2026 Mitigation ja Betroffene Systeme Betriebssystem Sonstiges UNIX Produktbeschreibung Apache Airflow ist eine Plattform zur programmatischen Erstellung, Planung und Überwachung von Workflows. Produkte 19.04.2026 Apache Airflow <3.2.0 Apache Airflow Keycloak Provider <0.7.0 Angriff Angriff Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in Apache Airflow und dem Airflow Keycloak Provider ausnutzen, um beliebigen Programmcode auszuführen, Sicherheitsmaßnahmen zu umgehen, Daten zu manipulieren und vertrauliche Informationen offenzulegen. CVE Informationen Versionshistorie Feedback zum Advisory geben