Kestra はイベント駆動型のオーケストレーションプラットフォームです。バージョン 1.3.7 以前の Kestra (デフォルトの docker-compose デプロイメント) には、エンドポイント "GET /api/v1/main/flows/search" における SQL インジェクションの脆弱性が存在します。認証されたユーザーが特別に細工されたリンクを訪問するだけで RCE が発生する可能性があります。この脆弱性はバージョン 1.3.7 で修正されており、ユーザーはアップデートを推奨します。
オープンソースのイベント駆動型オーケストレーションプラットフォームであるKestraは、デフォルトのDocker Composeデプロイメント(バージョン1.3.7より前)でSQLインジェクションの脆弱性を持っています。この重大な欠陥により、/api/v1/main/flows/searchエンドポイントを介してリモートコード実行(RCE)が可能になります。ユーザーが認証されると、作成されたリンクを単に訪問するだけで脆弱性がトリガーされます。注入されたペイロードは、COPY ... TO PROGRAM ...を使用してPostgreSQLで実行され、その結果、ホスト上の任意のOSコマンドが実行されます。CVSSの深刻度スコアは9.9で、非常に高いリスクを示しています。この脆弱性は、その簡単な悪用とシステム全体の侵害の可能性により、特に懸念されます。
この脆弱性は、認証されたユーザーが不正なリンクを訪問することによって、/api/v1/main/flows/searchエンドポイントを介して悪用されます。リンクには、Kestraによって処理されるとPostgreSQLデータベースで実行されるSQLインジェクションペイロードが含まれています。COPY ... TO PROGRAM ...関数により、このペイロードがオペレーティングシステムのコマンドを実行できるようになり、リモートコード実行につながります。エンドポイントにアクセスするには認証が必要ですが、認証されると、悪用は比較的簡単です。検索エンドポイントのユーザー入力の適切な検証の欠如が、この脆弱性の根本原因です。
Organizations utilizing Kestra orchestration platform in their default docker-compose deployments are at significant risk. This includes development and testing environments, as well as production systems where authentication is in place. Shared hosting environments using Kestra are particularly vulnerable due to the ease of exploitation.
• linux / server:
journalctl -u kestra -g "SQL Injection" | grep -i error• generic web:
curl -I 'http://<kestra_host>/api/v1/main/flows/search?q=<crafted_payload>' | grep 'HTTP/1.1 500' # Check for server errors indicating injectiondisclosure
エクスプロイト状況
EPSS
0.16% (37% パーセンタイル)
CISA SSVC
この脆弱性を軽減するための解決策は、Kestraをバージョン1.3.7以降にアップグレードすることです。このバージョンには、/api/v1/main/flows/searchエンドポイントのSQLインジェクションに対処する修正が含まれています。さらに、堅牢なパスワードポリシーを実装し、PostgreSQLデータベースへのアクセスを制限するなど、Kestraデプロイメントのセキュリティ構成を確認してください。Kestraログを不審なアクティビティについて監視することも、潜在的な悪用試行を検出および対応するのに役立ちます。直ちにアップグレードできない場合は、Web Application Firewall(WAF)を実装して、脆弱なエンドポイントを対象とする悪意のあるトラフィックをフィルタリングすることを検討してください。
Actualice Kestra a la versión 1.3.7 o superior para mitigar la vulnerabilidad de inyección SQL que podría permitir la ejecución remota de código. Asegúrese de aplicar la actualización en todos los entornos donde se utiliza Kestra, especialmente en despliegues Docker-Compose.
脆弱性分析と重要アラートをメールでお届けします。
1.3.7より前のKestraのすべてのバージョンが、このSQLインジェクションに脆弱です。
使用しているKestraのバージョンを確認してください。1.3.7より古い場合は、脆弱です。
これは、SQLクエリからオペレーティングシステムのコマンドを実行できるPostgreSQL関数であり、悪用されて任意のコードを実行される可能性があります。
Web Application Firewall(WAF)を実装して悪意のあるトラフィックをフィルタリングし、Kestraログを不審なアクティビティについて監視してください。
このSQLインジェクションを検出できる脆弱性スキャナがあります。詳細については、Kestraのドキュメントを参照してください。
CVSS ベクトル
Dockerfile ファイルをアップロードすると、影響の有無を即座にお知らせします。