Критична вразливість SQL Injection у Kestra до версії 1.3.7
Критична SQL Injection у Kestra дозволяє виконувати довільний код. Оновіть Kestra до 1.3.7 для захисту від атак.
- CVSS
- 9.9 CRITICAL
- EPSS
- 46.88%
- Активно використовується
- немає в KEV
- Продукт
- kestra
Що відомо
У Kestra, платформі оркестрації з відкритим кодом, виявлено SQL Injection у кінцевій точці GET /api/v1/main/flows/search, що дозволяє виконувати довільний код на сервері. Вразливість активується після автентифікації користувача простим переходом за спеціально сформованим посиланням.
Бізнес-вплив
Ця критична вразливість з оцінкою CVSS 9.9 дозволяє зловмиснику виконувати довільні команди на хості, що може призвести до повного контролю над інфраструктурою. Для операторів IT та власників контейнерів це означає високий ризик компрометації системи та потенційних втрат даних або сервісів.
Рекомендовані дії адміністратора
Рекомендується негайно оновити Kestra до версії 1.3.7 або новішої, де ця вразливість виправлена. Якщо оновлення неможливе, слід обмежити доступ до уразливого API, переглянути журнали на предмет підозрілої активності та впровадити додаткові заходи безпеки для зменшення ризиків.