Krytyczna luka w Kestra umożliwiająca zdalne wykonanie kodu bez uwierzytelnienia

Luka w Kestra umożliwia zdalne wykonanie kodu bez uwierzytelnienia. Aktualizuj Kestra do wersji 1.0.45 lub 1.3.21, aby zabezpieczyć system.
CVE-2026-49869CVSS 10.0Containers

Krytyczna luka w Kestra umożliwiająca zdalne wykonanie kodu bez uwierzytelnienia

Luka w Kestra umożliwia zdalne wykonanie kodu bez uwierzytelnienia. Aktualizuj Kestra do wersji 1.0.45 lub 1.3.21, aby zabezpieczyć system.

CVSS
10.0 CRITICAL
EPSS
48.02%
Aktywnie wykorzystywana
brak w KEV
Produkt
kestra

Co wiadomo

Kestra, platforma orkiestracji zdarzeń open-source, ma poważną lukę w uwierzytelnianiu w wersjach przed 1.0.45 i 1.3.21. Błąd pozwala na ominięcie uwierzytelnienia i zdalne wykonanie kodu jako root w kontenerze pracownika Kestra.

Wpływ biznesowy

Luka ta umożliwia nieautoryzowanym atakującym tworzenie i uruchamianie dowolnych workflowów oraz wykonywanie kodu z uprawnieniami root, co może prowadzić do całkowitego przejęcia środowiska kontenerowego. Operatorzy infrastruktury korzystającej z Kestra powinni traktować tę podatność jako krytyczną i priorytetowo zabezpieczyć swoje systemy.

Rekomendowane działania administratora

Zaleca się niezwłoczne zaktualizowanie Kestra do wersji 1.0.45 lub 1.3.21, w których luka została załatana. W przypadku braku możliwości aktualizacji należy ograniczyć dostęp do endpointów API, przeprowadzić przegląd logów pod kątem podejrzanej aktywności oraz monitorować środowisko pod kątem nieautoryzowanych działań.

Źródła