Kestra — это платформа оркестрации, управляемая событиями, с открытым исходным кодом. До версии 1.3.7 Kestra (развертывание docker-compose по умолчанию) содержала уязвимость SQL-инъекции, которая приводит к удаленному выполнению кода (RCE) в следующей конечной точке «GET /api/v1/main/flows/search». После аутентификации пользователя достаточно просто перейти по созданной ссылке, чтобы вызвать уязвимость.
Внедренная полезная нагрузка выполняется PostgreSQL с помощью COPY... TO PROGRAM..., который, в свою очередь, запускает произвольные команды ОС на хосте. Эта проблема исправлена в версии 1.3.7.
Показать оригинальное описание (EN)
Kestra is an open-source, event-driven orchestration platform. Prior to version 1.3.7, Kestra (default docker-compose deployment) contains a SQL Injection vulnerability that leads to Remote Code Execution (RCE) in the following endpoint "GET /api/v1/main/flows/search". Once a user is authenticated, simply visiting a crafted link is enough to trigger the vulnerability. The injected payload is executed by PostgreSQL using COPY ... TO PROGRAM ..., which in turn runs arbitrary OS commands on the host. This issue has been patched in version 1.3.7.
Характеристики атаки
Последствия
Строка CVSS v3.1