Plattform
docker
Komponente
docker
Behoben in
1.3.8
Kestra is an open-source event-driven orchestration platform. A SQL Injection vulnerability exists in versions prior to 1.3.7 within the /api/v1/main/flows/search endpoint, enabling Remote Code Execution (RCE). Authentication is required, but a crafted link is sufficient to trigger the vulnerability, leading to arbitrary OS command execution on the host. Version 1.3.7 addresses this issue.
Kestra, eine Open-Source-Plattform für ereignisgesteuerte Orchestrierung, weist eine SQL-Injection-Schwachstelle in ihrer Standard-Docker-Compose-Bereitstellung auf (vor Version 1.3.7). Dieser kritische Fehler ermöglicht die Remote Code Execution (RCE) über den Endpoint /api/v1/main/flows/search. Sobald ein Benutzer authentifiziert ist, reicht es aus, einen speziell erstellten Link zu besuchen, um die Schwachstelle auszulösen. Die injizierte Nutzlast wird in PostgreSQL mit COPY ... TO PROGRAM ... ausgeführt, wodurch beliebige Betriebssystembefehle auf dem Host ausgeführt werden können. Der CVSS-Schweregrad beträgt 9,9, was ein extrem hohes Risiko anzeigt. Diese Schwachstelle ist besonders besorgniserregend aufgrund ihrer einfachen Ausnutzbarkeit und des Potenzials für eine vollständige Systemkompromittierung.
Die Schwachstelle wird über den Endpoint /api/v1/main/flows/search ausgenutzt, wenn ein authentifizierter Benutzer einen bösartigen Link besucht. Der Link enthält eine SQL-Injection-Nutzlast, die, wenn sie von Kestra verarbeitet wird, in der PostgreSQL-Datenbank ausgeführt wird. Die Funktion COPY ... TO PROGRAM ... ermöglicht es dieser Nutzlast, Betriebssystembefehle auszuführen, was zu einer Remote Code Execution führt. Eine Authentifizierung ist erforderlich, um auf den Endpoint zuzugreifen, aber sobald der Benutzer authentifiziert ist, ist die Ausnutzung relativ einfach. Das Fehlen einer ordnungsgemäßen Validierung der Benutzereingabe im Such-Endpoint ist die Ursache dieser Schwachstelle.
Organizations utilizing Kestra orchestration platform in their default docker-compose deployments are at significant risk. This includes development and testing environments, as well as production systems where authentication is in place. Shared hosting environments using Kestra are particularly vulnerable due to the ease of exploitation.
• linux / server:
journalctl -u kestra -g "SQL Injection" | grep -i error• generic web:
curl -I 'http://<kestra_host>/api/v1/main/flows/search?q=<crafted_payload>' | grep 'HTTP/1.1 500' # Check for server errors indicating injectiondisclosure
Exploit-Status
EPSS
0.16% (37% Perzentil)
CISA SSVC
CVSS-Vektor
Die Lösung zur Minderung dieser Schwachstelle besteht darin, Kestra auf Version 1.3.7 oder höher zu aktualisieren. Diese Version enthält eine Korrektur, die die SQL-Injection im Endpoint /api/v1/main/flows/search behebt. Überprüfen Sie außerdem die Sicherheitseinstellungen Ihrer Kestra-Bereitstellung, einschließlich der Implementierung robuster Passwortrichtlinien und der Beschränkung des Zugriffs auf die PostgreSQL-Datenbank. Die Überwachung der Kestra-Protokolle auf verdächtige Aktivitäten kann ebenfalls dazu beitragen, potenzielle Ausnutzungsversuche zu erkennen und darauf zu reagieren. Wenn ein sofortiges Upgrade nicht möglich ist, sollten Sie eine Web Application Firewall (WAF) implementieren, um böswilligen Datenverkehr, der auf den anfälligen Endpoint abzielt, zu filtern.
Actualice Kestra a la versión 1.3.7 o superior para mitigar la vulnerabilidad de inyección SQL que podría permitir la ejecución remota de código. Asegúrese de aplicar la actualización en todos los entornos donde se utiliza Kestra, especialmente en despliegues Docker-Compose.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Alle Versionen von Kestra vor 1.3.7 sind anfällig für diese SQL-Injection.
Überprüfen Sie die Version von Kestra, die Sie verwenden. Wenn sie älter als 1.3.7 ist, ist sie anfällig.
Es ist eine PostgreSQL-Funktion, die die Ausführung von Betriebssystembefehlen aus einer SQL-Abfrage ermöglicht, was ausgenutzt werden kann, um beliebigen Code auszuführen.
Implementieren Sie eine Web Application Firewall (WAF), um böswilligen Datenverkehr zu filtern, und überwachen Sie die Kestra-Protokolle auf verdächtige Aktivitäten.
Es gibt Schwachstellenscanner, die diese SQL-Injection erkennen können. Weitere Informationen finden Sie in der Kestra-Dokumentation.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine Dockerfile-Datei hoch und wir sagen dir sofort, ob du betroffen bist.