Kestra — это платформа оркестрации, управляемая событиями. В версиях, начиная с 1.1.10 и ранее, предварительный просмотр исполняемого файла Kestra визуализирует предоставленный пользователем Markdown (.md) с уценкой — он создается как html:true и внедряет полученный HTML с помощью v-html Vue без очистки. На момент публикации общедоступных патчей нет.
Показать оригинальное описание (EN)
Kestra is an event-driven orchestration platform. In versions from 1.1.10 and prior, Kestra’s execution-file preview renders user-supplied Markdown (.md) with markdown-it instantiated as html:true and injects the resulting HTML with Vue’s v-html without sanitisation. At time of publication, there are no publicly available patches.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Требуется
Нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1