CVE-2026-34612 in kestrathông tin

Tóm tắt

Bởi VulDB • 07/06/2026

Kestra là một nền tảng điều phối mã nguồn mở, dựa trên sự kiện. Trước phiên bản 1.3.7, Kestra (triển khai mặc định bằng docker-compose) chứa một lỗ hổng SQL Injection dẫn đến Remote Code Execution (RCE) trong endpoint sau: "GET /api/v1/main/flows/search". Sau khi người dùng đã xác thực, chỉ cần truy cập một liên kết được tạo ra đặc biệt là đủ để kích hoạt lỗ hổng. Payload được tiêm sẽ được PostgreSQL thực thi bằng lệnh COPY ... TO PROGRAM ..., từ đó chạy các lệnh OS tùy ý trên máy chủ. Vấn đề này đã được vá trong phiên bản 1.3.7.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

chịu trách nhiệm

GitHub M

Đặt trước

30/03/2026

Tiết lộ

04/04/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00656

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you want to use VulDB in your project?

Use the official API to access entries easily!