Kestra: Remote Code Execution (RCE) über (SQL Injection)

Kestra ist eine Open-Source, ereignisgesteuerte Orchestrierungsplattform. Vor Version 1.3.7 enthält Kestra (Standard-Docker-Compose-Bereitstellung) eine (SQL Injection)-Schwachstelle, die zu Remote Code Execution (RCE) im folgenden Endpunkt "GET /api/v1/main/flows/search" führt. Sobald ein Benutzer authentifiziert ist, reicht der Besuch eines manipulierten Links aus, um die Schwachstelle auszulösen. Die injizierte Payload wird von PostgreSQL mit COPY ... TO PROGRAM ... ausgeführt, was wiederum beliebige Betriebssystembefehle auf dem Host ausführt. Dieses Problem wurde in Version 1.3.7 behoben.