Krytyczna luka SQL Injection w Kestra umożliwiająca zdalne wykonanie kodu
Krytyczna luka SQL Injection w Kestra przed wersją 1.3.7 umożliwia zdalne wykonanie kodu. Zalecana natychmiastowa aktualizacja i ograniczenie dostępu.
- CVSS
- 9.9 CRITICAL
- EPSS
- 46.88%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- kestra
Co wiadomo
Kestra, platforma orkiestracji zdarzeń open-source, przed wersją 1.3.7 zawiera krytyczną lukę SQL Injection w endpointzie GET /api/v1/main/flows/search. Po uwierzytelnieniu, odwiedzenie specjalnie spreparowanego linku może skutkować zdalnym wykonaniem kodu na hoście.
Wpływ biznesowy
Luka ta pozwala atakującemu na wykonanie dowolnych poleceń systemowych na serwerze, na którym działa Kestra, co może prowadzić do przejęcia kontroli nad infrastrukturą. Operatorzy kontenerów i właściciele infrastruktury powinni traktować tę podatność jako krytyczną ze względu na jej wysokie ryzyko i potencjalne skutki dla bezpieczeństwa systemów.
Rekomendowane działania administratora
Zaleca się niezwłoczne zaktualizowanie Kestra do wersji 1.3.7 lub nowszej, w której luka została załatana. W przypadku braku możliwości natychmiastowej aktualizacji, należy ograniczyć dostęp do endpointu /api/v1/main/flows/search, monitorować logi pod kątem podejrzanej aktywności oraz przeprowadzić przegląd uprawnień użytkowników. Priorytetowo należy wdrożyć środki zapobiegające SQL Injection i ograniczyć ekspozycję usługi.