anonhaven

CVE-2026-33664

HIGH CVSS 3.1: 5,4 EPSS 0.05%
Обновлено 31 марта 2026
Kestra
Параметр Значение
CVSS 5,4 (HIGH)
Уязвимые версии до 1.3.3
Тип уязвимости CWE-79 (Межсайтовый скриптинг (XSS))
Поставщик Kestra
Публичный эксплойт Нет

Kestra — это платформа оркестрации, управляемая событиями, с открытым исходным кодом. Версии до 1.3.3 включительно отображают предоставленные пользователем потоковые поля метаданных YAML — описание, inputs[].displayName, inputs[].description — через компонент Markdown.vue, экземпляр которого создается с помощью html: true. Полученный HTML-код вводится в DOM через v-html Vue без какой-либо очистки.

Это позволяет автору потока встраивать произвольный код JavaScript, который выполняется в браузере любого пользователя, который просматривает поток или взаимодействует с ним. Это отличается от GHSA-r36c-83hm-pc8j/CVE-2026-29082, который охватывает только FilePreview.vue, визуализирующий файлы .md из выходных данных выполнения. Настоящее открытие затрагивает разные компоненты, разные источники данных и требует значительно меньшего взаимодействия с пользователем (нулевой щелчок для ввода.displayName).

На момент публикации неясно, доступен ли патч.

Показать оригинальное описание (EN)

Kestra is an open-source, event-driven orchestration platform Versions up to and including 1.3.3 render user-supplied flow YAML metadata fields — description, inputs[].displayName, inputs[].description — through the Markdown.vue component instantiated with html: true. The resulting HTML is injected into the DOM via Vue's v-html without any sanitization. This allows a flow author to embed arbitrary JavaScript that executes in the browser of any user who views or interacts with the flow. This is distinct from GHSA-r36c-83hm-pc8j / CVE-2026-29082, which covers only FilePreview.vue rendering .md files from execution outputs. The present finding affects different components, different data sources, and requires significantly less user interaction (zero-click for input.displayName). As of time of publication, it is unclear if a patch is available.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Требуется
Нужно действие пользователя

Последствия

Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-79 Cross-Site Scripting (XSS) (Межсайтовый скриптинг (XSS))

Уязвимые продукты 1

Конфигурация От (включительно) До (исключительно)
Kestra Kestra
cpe:2.3:a:kestra:kestra:*:*:*:*:*:*:*:*
 <= 1.3.3

Ссылки 1

https://github.com/kestra-io/kestra/security/advisories/GHSA-v2mc-8q95-g7hp
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-29082

Kestra

7,3