Plateforme
docker
Composant
docker
Corrigé dans
1.3.8
CVE-2026-34612 est une vulnérabilité d'injection SQL dans Kestra qui peut conduire à une exécution de code à distance (RCE). Un attaquant authentifié peut exécuter des commandes arbitraires sur le système d'exploitation hôte via une requête GET malveillante. Cette vulnérabilité affecte les versions inférieures à 1.3.7. La version 1.3.7 corrige ce problème.
Kestra, une plateforme d'orchestration d'événements open source, contient une vulnérabilité d'injection SQL dans son déploiement Docker Compose par défaut (avant la version 1.3.7). Cette faille critique permet l'exécution de code à distance (RCE) via l'endpoint /api/v1/main/flows/search. Une fois qu'un utilisateur est authentifié, le simple fait de visiter un lien spécialement conçu suffit à déclencher la vulnérabilité. La charge utile injectée est exécutée dans PostgreSQL en utilisant COPY ... TO PROGRAM ..., ce qui permet d'exécuter des commandes arbitraires du système d'exploitation sur l'hôte. Le score de gravité CVSS est de 9,9, ce qui indique un risque extrêmement élevé. Cette vulnérabilité est particulièrement préoccupante en raison de sa facilité d'exploitation et du potentiel de compromission complète du système.
La vulnérabilité est exploitée via l'endpoint /api/v1/main/flows/search lorsqu'un utilisateur authentifié visite un lien malveillant. Le lien contient une charge utile d'injection SQL qui, lorsqu'elle est traitée par Kestra, est exécutée dans la base de données PostgreSQL. La fonction COPY ... TO PROGRAM ... permet à cette charge utile d'exécuter des commandes du système d'exploitation, ce qui entraîne une exécution de code à distance. L'authentification est requise pour accéder à l'endpoint, mais une fois authentifié, l'exploitation est relativement simple. L'absence de validation appropriée de l'entrée utilisateur dans l'endpoint de recherche est la cause première de cette vulnérabilité.
Organizations utilizing Kestra orchestration platform in their default docker-compose deployments are at significant risk. This includes development and testing environments, as well as production systems where authentication is in place. Shared hosting environments using Kestra are particularly vulnerable due to the ease of exploitation.
• linux / server:
journalctl -u kestra -g "SQL Injection" | grep -i error• generic web:
curl -I 'http://<kestra_host>/api/v1/main/flows/search?q=<crafted_payload>' | grep 'HTTP/1.1 500' # Check for server errors indicating injectiondisclosure
Statut de l'Exploit
EPSS
0.16% (percentile 37%)
CISA SSVC
Vecteur CVSS
La solution pour atténuer cette vulnérabilité est de mettre à niveau Kestra vers la version 1.3.7 ou supérieure. Cette version inclut une correction qui corrige l'injection SQL dans l'endpoint /api/v1/main/flows/search. De plus, examinez la configuration de sécurité de votre déploiement Kestra, y compris la mise en œuvre de politiques de mots de passe robustes et la limitation de l'accès à la base de données PostgreSQL. Surveiller les journaux de Kestra à la recherche d'activités suspectes peut également aider à détecter et à répondre aux tentatives d'exploitation potentielles. Si une mise à niveau immédiate n'est pas possible, envisagez de mettre en œuvre un pare-feu d'applications Web (WAF) pour filtrer le trafic malveillant ciblant l'endpoint vulnérable.
Actualice Kestra a la versión 1.3.7 o superior para mitigar la vulnerabilidad de inyección SQL que podría permitir la ejecución remota de código. Asegúrese de aplicar la actualización en todos los entornos donde se utiliza Kestra, especialmente en despliegues Docker-Compose.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Toutes les versions de Kestra antérieures à 1.3.7 sont vulnérables à cette injection SQL.
Vérifiez la version de Kestra que vous utilisez. Si elle est antérieure à 1.3.7, elle est vulnérable.
C'est une fonction PostgreSQL qui permet d'exécuter des commandes du système d'exploitation à partir d'une requête SQL, ce qui peut être exploité pour exécuter du code arbitraire.
Mettez en œuvre un pare-feu d'applications Web (WAF) pour filtrer le trafic malveillant et surveillez les journaux de Kestra à la recherche d'activités suspectes.
Il existe des scanners de vulnérabilités qui peuvent détecter cette injection SQL. Consultez la documentation de Kestra pour plus d'informations.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier Dockerfile et nous te dirons instantanément si tu es affecté.