Blvck-Ltr

**Nome do Software Vulnerável e Versões Afetadas** Kestra versões anteriores a 1.3.4 **Descrição** Ocorre uma Injeção de SQL porque a entrada controlada pelo usuário de um parâmetro GET é concatenada diretamente em uma consulta SQL sem a devida sanitização ou parametrização. Isso permite que invasores injetem expressões SQL arbitrárias na consulta ao banco de dados. **Recomendações** Atualize para uma versão posterior à 1.3.3.

Name of the Vulnerable Software and Affected Versions Kestra versões anteriores a 1.3.7 Description Kestra é uma plataforma de orquestração orientada a eventos. Versões anteriores a 1.3.7 contêm uma vulnerabilidade de Injeção SQL no endpoint 'GET /api/v1/main/flows/search', que pode levar à Execução Remota de Código (RCE). Usuários autenticados podem acionar esse problema visitando um link criado. A vulnerabilidade explora a funcionalidade `COPY ... TO PROGRAM ...` do PostgreSQL para executar comandos arbitrários do sistema operacional no host. Recommendations Atualize para a versão 1.3.7 ou posterior.