Krytyczna luka w Kestra umożliwiająca zdalne wykonanie kodu bez uwierzytelnienia
Luka w Kestra umożliwia zdalne wykonanie kodu bez uwierzytelnienia. Aktualizuj Kestra do wersji 1.0.45 lub 1.3.21, aby zabezpieczyć system.
- CVSS
- 10.0 CRITICAL
- EPSS
- 48.02%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- kestra
Co wiadomo
Kestra, platforma orkiestracji zdarzeń open-source, ma poważną lukę w uwierzytelnianiu w wersjach przed 1.0.45 i 1.3.21. Błąd pozwala na ominięcie uwierzytelnienia i zdalne wykonanie kodu jako root w kontenerze pracownika Kestra.
Wpływ biznesowy
Luka ta umożliwia nieautoryzowanym atakującym tworzenie i uruchamianie dowolnych workflowów oraz wykonywanie kodu z uprawnieniami root, co może prowadzić do całkowitego przejęcia środowiska kontenerowego. Operatorzy infrastruktury korzystającej z Kestra powinni traktować tę podatność jako krytyczną i priorytetowo zabezpieczyć swoje systemy.
Rekomendowane działania administratora
Zaleca się niezwłoczne zaktualizowanie Kestra do wersji 1.0.45 lub 1.3.21, w których luka została załatana. W przypadku braku możliwości aktualizacji należy ograniczyć dostęp do endpointów API, przeprowadzić przegląd logów pod kątem podejrzanej aktywności oraz monitorować środowisko pod kątem nieautoryzowanych działań.