CVE-2026-34612: SQL Injection em Kestra ≤ 1.3.7 - RCE!
Plataforma
postgresql
Componente
kestra
Corrigido em
1.3.7
Kestra é uma plataforma de orquestração de eventos de código aberto. Uma vulnerabilidade de SQL Injection foi descoberta em versões anteriores à 1.3.7, especificamente no endpoint "GET /api/v1/main/flows/search", permitindo a execução remota de código (RCE). Essa falha afeta as versões do Kestra menores ou iguais a 1.3.7 e foi corrigida na versão 1.3.7.
Como corrigir
Nenhum patch oficial disponível. Procure alternativas ou monitore atualizações.
Perguntas frequentes
O que é a vulnerabilidade CVE-2026-34612?
É uma vulnerabilidade de SQL Injection presente em versões do Kestra (até 1.3.7) que permite a execução remota de código (RCE) através de um endpoint específico, sem necessidade de ações complexas após a autenticação.
Estou vulnerável ao CVE-2026-34612?
Sim, se você estiver utilizando uma versão do Kestra anterior à 1.3.7, sua instalação é vulnerável a esta falha de SQL Injection.
Como corrigir (ou mitigar) o CVE-2026-34612?
A correção oficial para esta vulnerabilidade está disponível na versão 1.3.7 do Kestra. Atualize sua instalação para esta versão para eliminar a vulnerabilidade.
Monitore suas dependências automaticamente
Receba alertas quando novas vulnerabilidades afetarem seus projetos.
Começar grátis