Plataforma
docker
Componente
docker
Corrigido em
1.3.8
Kestra é uma plataforma de orquestração de eventos de código aberto. Uma vulnerabilidade de SQL Injection foi descoberta em versões anteriores à 1.3.7, especificamente no endpoint "GET /api/v1/main/flows/search", permitindo a execução remota de código (RCE). Essa falha afeta as versões do Kestra menores ou iguais a 1.3.7 e foi corrigida na versão 1.3.7.
Kestra, uma plataforma de orquestração de eventos de código aberto, apresenta uma vulnerabilidade de injeção SQL em sua implantação padrão com Docker Compose (anterior à versão 1.3.7). Essa falha crítica permite a execução remota de código (RCE) através do endpoint /api/v1/main/flows/search. Uma vez que um usuário esteja autenticado, simplesmente visitar um link especialmente criado é suficiente para acionar a vulnerabilidade. O payload injetado é executado no PostgreSQL usando COPY ... TO PROGRAM ..., que, por sua vez, executa comandos arbitrários do sistema operacional no host. A pontuação de severidade CVSS é 9.9, indicando um risco extremamente alto. Essa vulnerabilidade é particularmente preocupante devido à sua facilidade de exploração e ao potencial de comprometimento completo do sistema.
A vulnerabilidade é explorada através do endpoint /api/v1/main/flows/search quando um usuário autenticado visita um link malicioso. O link contém um payload de injeção SQL que, ao ser processado pelo Kestra, é executado no banco de dados PostgreSQL. A função COPY ... TO PROGRAM ... permite que este payload execute comandos do sistema operacional, levando à execução remota de código. A autenticação é necessária para acessar o endpoint, mas uma vez autenticado, a exploração é relativamente direta. A falta de validação adequada da entrada do usuário no endpoint de pesquisa é a causa raiz desta vulnerabilidade.
Organizations utilizing Kestra orchestration platform in their default docker-compose deployments are at significant risk. This includes development and testing environments, as well as production systems where authentication is in place. Shared hosting environments using Kestra are particularly vulnerable due to the ease of exploitation.
• linux / server:
journalctl -u kestra -g "SQL Injection" | grep -i error• generic web:
curl -I 'http://<kestra_host>/api/v1/main/flows/search?q=<crafted_payload>' | grep 'HTTP/1.1 500' # Check for server errors indicating injectiondisclosure
Status do Exploit
EPSS
0.16% (percentil 37%)
CISA SSVC
Vetor CVSS
A solução para mitigar essa vulnerabilidade é atualizar o Kestra para a versão 1.3.7 ou superior. Essa versão inclui uma correção que aborda a injeção SQL no endpoint /api/v1/main/flows/search. Além disso, revise a configuração de segurança da sua implantação do Kestra, incluindo a implementação de políticas de senhas robustas e a limitação do acesso ao banco de dados PostgreSQL. Monitorar os logs do Kestra em busca de atividades suspeitas também pode ajudar a detectar e responder a tentativas de exploração potenciais. Se uma atualização imediata não for possível, considere implementar um Firewall de Aplicações Web (WAF) para filtrar o tráfego malicioso direcionado ao endpoint vulnerável.
Actualice Kestra a la versión 1.3.7 o superior para mitigar la vulnerabilidad de inyección SQL que podría permitir la ejecución remota de código. Asegúrese de aplicar la actualización en todos los entornos donde se utiliza Kestra, especialmente en despliegues Docker-Compose.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Todas as versões do Kestra anteriores à 1.3.7 são vulneráveis a esta injeção SQL.
Verifique a versão do Kestra que você está usando. Se for anterior a 1.3.7, ela é vulnerável.
É uma função do PostgreSQL que permite executar comandos do sistema operacional a partir de uma consulta SQL, o que pode ser explorado para executar código arbitrário.
Implemente um Firewall de Aplicações Web (WAF) para filtrar o tráfego malicioso e monitore os logs do Kestra em busca de atividades suspeitas.
Existem scanners de vulnerabilidade que podem detectar esta injeção SQL. Consulte a documentação do Kestra para obter mais informações.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo Dockerfile e descubra na hora se você está afetado.