CVE-2026-53576: Krytyczna luka w kestra umożliwiająca wykonanie kodu z uprawnieniami root
Krytyczna luka w kestra pozwala anonimowym użytkownikom na wykonanie kodu z uprawnieniami root. Zalecana natychmiastowa aktualizacja do wersji 1.0.45 lub 1.3.21.
- CVSS
- 10.0 CRITICAL
- EPSS
- 37.46%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- kestra
Co wiadomo
Kestra, platforma do orkiestracji zdarzeń, miała krytyczną lukę w uwierzytelnianiu REST API, pozwalającą anonimowym użytkownikom na tworzenie i uruchamianie zadań powłoki z uprawnieniami root w kontenerze. Luka dotyczyła wersji przed 1.0.45 i 1.3.21 i umożliwiała eskalację uprawnień do hosta poprzez dostęp do demona Dockera.
Wpływ biznesowy
Ta luka stanowi poważne zagrożenie dla bezpieczeństwa środowisk korzystających z kestra, ponieważ umożliwia nieautoryzowane wykonanie kodu z najwyższymi uprawnieniami, co może prowadzić do przejęcia kontroli nad hostem. Operatorzy IT powinni traktować tę podatność jako krytyczną i priorytetowo podejść do jej eliminacji, aby zapobiec potencjalnym incydentom bezpieczeństwa i utracie danych.
Rekomendowane działania administratora
Zaleca się niezwłoczne zaktualizowanie kestra do wersji 1.0.45 lub 1.3.21, gdzie luka została załatana. W przypadku braku możliwości natychmiastowej aktualizacji, ogranicz dostęp do API, szczególnie do ścieżek kończących się na /configs, monitoruj logi pod kątem podejrzanych żądań oraz rozważ izolację kontenerów i ograniczenie dostępu do pliku /var/run/docker.sock. Regularnie przeglądaj i aktualizuj polityki bezpieczeństwa oraz stosuj najlepsze praktyki w zakresie uwierzytelniania i autoryzacji.