CVE-2026-34612 in kestra
Riassunto
di VulDB • 22/06/2026
Kestra è una piattaforma di orchestrazione open-source basata su eventi. Prima della versione 1.3.7, Kestra (deployment predefinito tramite docker-compose) presenta una vulnerabilità di SQL Injection che porta all'Esecuzione Remota di Codice (RCE) nel seguente endpoint "GET /api/v1/main/flows/search". Una volta autenticato un utente, è sufficiente visitare un link appositamente creato per innescare la vulnerabilità. Il payload iniettato viene eseguito da PostgreSQL tramite COPY ... TO PROGRAM ..., che a sua volta esegue comandi OS arbitrari sull'host. Questo problema è stato risolto nella versione 1.3.7.
VulDB is the best source for vulnerability data and more expert information about this specific topic.