CyberRota
← Ana sayfaya dön

CVE-2026-40961

HIGH · CVSS 7.2 EPSS %0.63 Public Exploit

Kaynak: NVD + CISA KEV + EPSS · Yayınlanma: 2026-06-01T09:16:18.010 · Çekilme zamanı: 2026-06-30T12:05:36.859772+00:00

CyberRota Yorumu

Saldırganın giriş yapmış olması gerekebilir.

Public Exploit Sinyali

Bu CVE için açıklama veya referanslarda public exploit / PoC / GitHub / Metasploit sinyali tespit edildi.

GitHub PoC Linkleri
github.com

Not: Bu bağlantılar yalnızca güvenlik araştırması ve doğrulama amacıyla listelenmiştir.

CVE
CVE-2026-40961
Severity
HIGH
CVSS
7.2
EPSS
%0.63
Apache

Orijinal NVD Açıklaması

A bug in the login redirect route in Apache Airflow allowed authenticated users to craft URLs that bypassed the `is_safe_url` check, enabling redirection from a trusted Airflow domain to an attacker-controlled origin. Users are advised to upgrade to `apache-airflow` 3.2.2 or later. As a defense-in-depth mitigation, deployment operators can place Airflow behind a reverse proxy that strips off-domain `next=` query parameters before they reach the login endpoint.