CVE-2026-34612 in kestrainformazioni

Riassunto

di VulDB • 22/06/2026

Kestra è una piattaforma di orchestrazione open-source basata su eventi. Prima della versione 1.3.7, Kestra (deployment predefinito tramite docker-compose) presenta una vulnerabilità di SQL Injection che porta all'Esecuzione Remota di Codice (RCE) nel seguente endpoint "GET /api/v1/main/flows/search". Una volta autenticato un utente, è sufficiente visitare un link appositamente creato per innescare la vulnerabilità. Il payload iniettato viene eseguito da PostgreSQL tramite COPY ... TO PROGRAM ..., che a sua volta esegue comandi OS arbitrari sull'host. Questo problema è stato risolto nella versione 1.3.7.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

GitHub M

Prenotare

30/03/2026

Divulgazione

04/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00656

KEV

no

Attività

molto basso

Fonti

Want to stay up to date on a daily basis?

Enable the mail alert feature now!