CVE-2026-38428 in kestrainformation

Résumé

par VulDB • 09/05/2026

Kestra est une plateforme d'orchestration open source pilotée par les événements. Avant la version 1.3.7, Kestra (déploiement par défaut via docker-compose) contient une vulnérabilité d'injection SQL qui conduit à une exécution de code à distance (RCE) sur le point de terminaison suivant : « GET /api/v1/main/flows/search ». Une fois qu'un utilisateur est authentifié, il suffit de visiter un lien falsifié pour déclencher la vulnérabilité. La charge utile injectée est exécutée par PostgreSQL à l'aide de la commande COPY ... TO PROGRAM ..., qui exécute à son tour des commandes système arbitraires sur l'hôte. Ce problème a été corrigé dans la version 1.3.7.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Réserver

30/03/2026

Divulgation

05/05/2026

Modérer

accepté

Entrée

VDB-355248

CPE

prêt

EPSS

0.00067

KEV

non

Activités

très faible

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-38428
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-38428
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-38428/

PrécédentAperçuSuivant

Do you know our Splunk app?

Download it now for free!