CVE-2026-33664 in kestrainfo

Zusammenfassung

von VulDB • 19.05.2026

Kestra ist eine Open-Source, ereignisgesteuerte Orchestrierungsplattform. Versionen bis einschließlich 1.3.3 rendern benutzergestellte Flow-YAML-Metadatenfelder — description, inputs[].displayName, inputs[].description — über die Markdown.vue-Komponente, die mit html: true instanziiert wird. Das resultierende HTML wird über Vues v-html ohne jegliche Sanitisierung in das DOM injiziert. Dies ermöglicht es einem Flow-Autor, beliebiges JavaScript einzubetten, das im Browser jedes Benutzers ausgeführt wird, der den Flow ansieht oder damit interagiert. Dies unterscheidet sich von GHSA-r36c-83hm-pc8j / CVE-2026-29082, das nur das Rendern von .md-Dateien aus Ausführungsausgaben durch FilePreview.vue abdeckt. Der vorliegende Befund betrifft andere Komponenten, andere Datenquellen und erfordert deutlich weniger Benutzerinteraktion (Zero-Click für input.displayName). Zum Zeitpunkt der Veröffentlichung ist unklar, ob ein Patch verfügbar ist.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

23.03.2026

Veröffentlichung

27.03.2026

Moderieren

akzeptiert

Eintrag

VDB-353729

CPE

bereit

EPSS

0.00062

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-33664
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-33664
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-33664/

ZurückÜbersichtWeiter

Want to know what is going to be exploited?

We predict KEV entries!