CRITICAL🇬🇧 English

CVE-2026-38428

SQL Injection w Kestra — wstrzykiwanie zapytań przez parametr GET

CVSS 9.8v3.1pub. 2026-05-05upd. 2026-05-08

Kestra w wersji 1.3.3 i wcześniejszych zawiera krytyczną podatność SQL Injection, umożliwiającą nieuwierzytelnionemu atakującemu wstrzyknięcie dowolnych wyrażeń SQL do zapytań bazodanowych. Ze względu na brak wymagań uwierzytelnienia i sieciowy wektor ataku, podatność stanowi poważne zagrożenie dla poufności, integralności i dostępności danych.

Pokaż oryginał (EN)

Kestra v1.3.3 and before is vulnerable to SQL Injection. The vulnerability occurs because user-controlled input from a GET parameter is directly concatenated into an SQL query without proper sanitization or parameterization. As a result, attackers can inject arbitrary SQL expressions into the database query.

🤖 Analiza AI
Jak działa

Podatność wynika z bezpośredniego łączenia (konkatenacji) danych wejściowych pochodzących od użytkownika — przekazywanych przez parametr żądania GET — z treścią zapytania SQL, bez zastosowania odpowiedniej sanityzacji ani parametryzacji zapytań. Atakujący może spreparować złośliwą wartość parametru GET, która zostanie zinterpretowana przez silnik bazodanowy jako część zapytania SQL. W efekcie możliwe jest dowolne modyfikowanie logiki zapytań wykonywanych przez aplikację.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do danych przechowywanych w bazie danych, zmodyfikować lub usunąć dane, a w zależności od konfiguracji bazy danych — potencjalnie przejąć kontrolę nad serwerem bazodanowym lub doprowadzić do jego niedostępności.

Mitygacja

Należy zaktualizować Kestra do wersji nowszej niż 1.3.3. Szczegółowe informacje o dostępnych patchach znajdują się w oficjalnym security advisory producenta pod adresem: https://github.com/kestra-io/kestra/security/advisories/GHSA-365w-2m69-mp9x

Kogo dotyczy

Kestra w wersji 1.3.3 oraz wszystkich wersjach wcześniejszych.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Kestra

    APP
    Kestra
    < 1.0.351.1.0 – 1.3.7 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2026-53576CRITICAL10.0PL ✓ten sam produkt

Kestra: Pominięcie uwierzytelnienia REST API prowadzące do RCE jako root

CVE-2026-49869CRITICAL10.0PL ✓ten sam produkt

Kestra: Auth Bypass umożliwiający nieuwierzytelniony RCE jako root

CVE-2026-34612CRITICAL9.9PL ✓ten sam produkt

SQL Injection prowadzący do RCE w platformie Kestra (endpoint wyszukiwania flows)

CVE-2026-55069HIGH8.7ten sam produkt

Kestra is an open-source, event-driven orchestration platform. Prior to 1.3.24, this vulnerability exists in t...

CVE-2026-45807HIGH7.7ten sam produkt

Kestra is an open-source, event-driven orchestration platform. Prior to 1.0.43 and 1.3.19, several Kestra API ...