PT-2026-30266 · Kestra · Kestra
Blvck-Ltr
·
Publicado
2026-04-03
·
Atualizado
2026-04-09
·
CVE-2026-34612
CVSS v3.1
9.9
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Name of the Vulnerable Software and Affected Versions
Kestra versões anteriores a 1.3.7
Description
Kestra é uma plataforma de orquestração orientada a eventos. Versões anteriores a 1.3.7 contêm uma vulnerabilidade de Injeção SQL no endpoint 'GET /api/v1/main/flows/search', que pode levar à Execução Remota de Código (RCE). Usuários autenticados podem acionar esse problema visitando um link criado. A vulnerabilidade explora a funcionalidade
COPY ... TO PROGRAM ... do PostgreSQL para executar comandos arbitrários do sistema operacional no host.Recommendations
Atualize para a versão 1.3.7 ou posterior.
Exploit
Correção
RCE
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Kestra