CRITICAL🇬🇧 English

CVE-2026-34612

SQL Injection prowadzący do RCE w platformie Kestra (endpoint wyszukiwania flows)

CVSS 9.9v3.1pub. 2026-04-03upd. 2026-04-13

Kestra w wersjach przed 1.3.7 zawiera krytyczną podatność SQL Injection w endpoincie wyszukiwania przepływów, która umożliwia zdalne wykonanie kodu (RCE) na hoście. Zalogowany użytkownik może wywołać atak jedynie przez odwiedzenie spreparowanego odnośnika.

Pokaż oryginał (EN)

Kestra is an open-source, event-driven orchestration platform. Prior to version 1.3.7, Kestra (default docker-compose deployment) contains a SQL Injection vulnerability that leads to Remote Code Execution (RCE) in the following endpoint "GET /api/v1/main/flows/search". Once a user is authenticated, simply visiting a crafted link is enough to trigger the vulnerability. The injected payload is executed by PostgreSQL using COPY ... TO PROGRAM ..., which in turn runs arbitrary OS commands on the host. This issue has been patched in version 1.3.7.

🤖 Analiza AI
Jak działa

Podatność znajduje się w endpoincie GET /api/v1/main/flows/search i polega na nieprawidłowej obsłudze danych wejściowych przekazywanych do zapytania SQL (CWE-89). Atakujący wstrzykuje złośliwy payload SQL, który następnie jest wykonywany przez PostgreSQL z użyciem mechanizmu COPY ... TO PROGRAM .... Mechanizm ten pozwala PostgreSQL na wykonywanie dowolnych poleceń systemu operacyjnego na hoście, gdzie działa baza danych. W domyślnym wdrożeniu opartym na docker-compose exploit wymaga jedynie posiadania aktywnej sesji uwierzytelnionego użytkownika.

Skutki

Atakujący z dostępem do uwierzytelnionej sesji może wykonać dowolne polecenia systemu operacyjnego na serwerze hosta, co skutkuje pełnym przejęciem kontroli nad systemem, możliwością wycieku danych oraz naruszeniem integralności i dostępności środowiska.

Mitygacja

Należy zaktualizować Kestra do wersji 1.3.7, w której problem został naprawiony. Poprawka dostępna jest w repozytorium GitHub (commit 3926762795df8ad3e03924b370c51832ed3a21d3) oraz w ramach wydania v1.3.7.

Kogo dotyczy

Kestra w wersjach przed 1.3.7, w domyślnym wdrożeniu opartym na docker-compose z bazą danych PostgreSQL

Uwagi

Podatność dotyczy wyłącznie domyślnej konfiguracji docker-compose korzystającej z PostgreSQL. Możliwość wykonania poleceń OS wynika z uprawnień użytkownika bazodanowego do funkcji COPY TO PROGRAM — ograniczenie tych uprawnień może stanowić dodatkowe zabezpieczenie do czasu wdrożenia patcha.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Kestra

    APP
    Kestra
    < 1.3.7
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCESQLiContainer
CWE
Referencje

Powiązane podatności

CVE-2026-53576CRITICAL10.0PL ✓ten sam produkt

Kestra: Pominięcie uwierzytelnienia REST API prowadzące do RCE jako root

CVE-2026-49869CRITICAL10.0PL ✓ten sam produkt

Kestra: Auth Bypass umożliwiający nieuwierzytelniony RCE jako root

CVE-2026-38428CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Kestra — wstrzykiwanie zapytań przez parametr GET

CVE-2026-55069HIGH8.7ten sam produkt

Kestra is an open-source, event-driven orchestration platform. Prior to 1.3.24, this vulnerability exists in t...

CVE-2026-45807HIGH7.7ten sam produkt

Kestra is an open-source, event-driven orchestration platform. Prior to 1.0.43 and 1.3.19, several Kestra API ...