Kestra: Execução Remota de Código (Remote Code Execution) via Injeção SQL (SQL Injection)

Kestra é uma plataforma de orquestração de código aberto orientada a eventos. Anterior à versão 1.3.7, o Kestra (implantação padrão docker-compose) contém uma vulnerabilidade de Injeção SQL (SQL Injection) que leva à Execução Remota de Código (Remote Code Execution - RCE) no seguinte endpoint "GET /api/v1/main/flows/search". Uma vez que um usuário é autenticado, simplesmente visitar um link manipulado é suficiente para acionar a vulnerabilidade. O payload injetado é executado pelo PostgreSQL usando COPY ... TO PROGRAM ..., que por sua vez executa comandos arbitrários do sistema operacional no host. Este problema foi corrigido na versão 1.3.7.