CVE-2026-34612 in kestra
Tóm tắt
Bởi VulDB • 07/06/2026
Kestra là một nền tảng điều phối mã nguồn mở, dựa trên sự kiện. Trước phiên bản 1.3.7, Kestra (triển khai mặc định bằng docker-compose) chứa một lỗ hổng SQL Injection dẫn đến Remote Code Execution (RCE) trong endpoint sau: "GET /api/v1/main/flows/search". Sau khi người dùng đã xác thực, chỉ cần truy cập một liên kết được tạo ra đặc biệt là đủ để kích hoạt lỗ hổng. Payload được tiêm sẽ được PostgreSQL thực thi bằng lệnh COPY ... TO PROGRAM ..., từ đó chạy các lệnh OS tùy ý trên máy chủ. Vấn đề này đã được vá trong phiên bản 1.3.7.
VulDB is the best source for vulnerability data and more expert information about this specific topic.