В Apache Airflow FAB provider исправлена LDAP-инъекция с риском обхода аутентификации

Apache опубликовала CVE-2026-46745 — уязвимость LDAP filter injection в FAB Auth Manager для Apache Airflow. Проблема затрагивает пакет apache-airflow-providers-fab ниже 3.6.4 и может позволить неаутентифицированному атакующему извлекать данные из LDAP-каталога или обходить аутентификацию.

Apache Software Foundation опубликовала предупреждение о CVE-2026-46745 в Apache Airflow FAB provider — пакете, который реализует FAB (Flask App Builder) Auth Manager для Airflow. Уязвимость класса LDAP filter injection (CWE-90) связана с обработкой LDAP-поиска в Auth Manager и, согласно описанию CVE, доступна через маршрут /auth/token.

Затронуты версии apache-airflow-providers-fab ниже 3.6.4. Apache указывает, что неаутентифицированный пользователь мог использовать ошибку для извлечения данных из LDAP-каталога или обхода аутентификации; уровень опасности обозначен как Moderate.

Исправление включено в apache-airflow-providers-fab 3.6.4, опубликованный 23 мая 2026 года: в журнале изменений оно описано как экранирование специальных символов в LDAP-фильтре. Администраторам инсталляций Airflow с LDAP-аутентификацией следует обновить провайдер до 3.6.4 или новее; если обновление нельзя выполнить сразу, Apache рекомендует временно отключить LDAP-аутентификацию.