漏洞概述 CVE编号: CVE-2026-49267 漏洞名称: Apache Airflow: No certificate validation on SMTP STARTTLS connections 严重程度: 低 描述: Apache Airflow的EmailOperator和底层的 helpers在建立SMTP STARTTLS连接时,未验证远程证书,当部署使用 (默认 )时。攻击者可以伪装成SMTP服务器,通过中间人攻击(MITM)捕获SMTP认证凭据和消息内容。 影响范围 受影响版本: Apache Airflow (apache-airflow) 2.0.0 到 3.2.2 受影响组件: - - 修复方案 建议升级: 升级到 3.2.2 或更高版本 额外修复: 如果使用了 和 ,建议额外升级到 3.2.2 或更高版本,以覆盖核心路径中的漏洞。 参考链接 GitHub Pull Request Airflow Apache CVE Record 其他信息 发布者: Rahul Vatsa 发布日期: 2026年5月31日 联系邮箱: users-help@airflow.apache.org 代码块 无POC代码或利用代码。