Platform
docker
Component
docker
Opgelost in
1.3.8
CVE-2026-34612 is een SQL injectie kwetsbaarheid in Kestra die kan leiden tot Remote Code Execution (RCE). Een geauthenticeerde gebruiker kan door het bezoeken van een speciaal ontworpen link willekeurige OS commando's uitvoeren op de host. De impact is kritiek, omdat een aanvaller volledige controle over het systeem kan krijgen. De kwetsbaarheid treft versies lager dan 1.3.7. Deze is verholpen in versie 1.3.7.
Kestra, een open-source, event-driven orchestration platform, bevat een SQL-injectie kwetsbaarheid in zijn standaard Docker Compose deployment (vóór versie 1.3.7). Deze kritieke fout maakt Remote Code Execution (RCE) mogelijk via de endpoint /api/v1/main/flows/search. Zodra een gebruiker is geauthenticeerd, is het simpelweg bezoeken van een speciaal samengestelde link voldoende om de kwetsbaarheid te activeren. De geïnjecteerde payload wordt uitgevoerd in PostgreSQL met behulp van COPY ... TO PROGRAM ..., waardoor willekeurige OS-commando's op de host kunnen worden uitgevoerd. De CVSS-severity score is 9.9, wat een extreem hoog risico aangeeft. Deze kwetsbaarheid is bijzonder zorgwekkend vanwege de eenvoudige uitbuiting en het potentieel voor volledige systeemcompromittatie.
De kwetsbaarheid wordt uitgebuit via de endpoint /api/v1/main/flows/search wanneer een geauthenticeerde gebruiker een kwaadaardige link bezoekt. De link bevat een SQL-injectie payload die, wanneer deze door Kestra wordt verwerkt, in de PostgreSQL-database wordt uitgevoerd. De functie COPY ... TO PROGRAM ... stelt deze payload in staat om besturingssysteemcommando's uit te voeren, wat leidt tot remote code execution. Authenticatie is vereist om toegang te krijgen tot de endpoint, maar zodra de gebruiker is geauthenticeerd, is de exploitatie relatief eenvoudig. Het ontbreken van een juiste validatie van de gebruikersinvoer in de zoek-endpoint is de hoofdoorzaak van deze kwetsbaarheid.
Organizations utilizing Kestra orchestration platform in their default docker-compose deployments are at significant risk. This includes development and testing environments, as well as production systems where authentication is in place. Shared hosting environments using Kestra are particularly vulnerable due to the ease of exploitation.
• linux / server:
journalctl -u kestra -g "SQL Injection" | grep -i error• generic web:
curl -I 'http://<kestra_host>/api/v1/main/flows/search?q=<crafted_payload>' | grep 'HTTP/1.1 500' # Check for server errors indicating injectiondisclosure
Exploit Status
EPSS
0.16% (37% percentiel)
CISA SSVC
CVSS-vector
De oplossing om deze kwetsbaarheid te mitigeren is om Kestra te upgraden naar versie 1.3.7 of hoger. Deze versie bevat een fix die de SQL-injectie in de endpoint /api/v1/main/flows/search aanpakt. Bekijk bovendien de beveiligingsconfiguratie van uw Kestra-implementatie, inclusief het implementeren van robuuste wachtwoordbeleid en het beperken van de toegang tot de PostgreSQL-database. Het monitoren van Kestra-logs op verdachte activiteiten kan ook helpen bij het detecteren en reageren op potentiële exploitatiepogingen. Als een onmiddellijke upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) om kwaadaardig verkeer dat op de kwetsbare endpoint is gericht, te filteren.
Actualice Kestra a la versión 1.3.7 o superior para mitigar la vulnerabilidad de inyección SQL que podría permitir la ejecución remota de código. Asegúrese de aplicar la actualización en todos los entornos donde se utiliza Kestra, especialmente en despliegues Docker-Compose.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Alle versies van Kestra vóór 1.3.7 zijn kwetsbaar voor deze SQL-injectie.
Controleer de versie van Kestra die u gebruikt. Als deze ouder is dan 1.3.7, is deze kwetsbaar.
Het is een PostgreSQL-functie die het uitvoeren van besturingssysteemcommando's vanuit een SQL-query mogelijk maakt, wat kan worden misbruikt om willekeurige code uit te voeren.
Implementeer een Web Application Firewall (WAF) om kwaadaardig verkeer te filteren en monitor de Kestra-logs op verdachte activiteiten.
Er zijn vulnerability scanners die deze SQL-injectie kunnen detecteren. Raadpleeg de Kestra-documentatie voor meer informatie.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je Dockerfile-bestand en we vertellen je direct of je getroffen bent.