V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
anchore_overrides,nvd

Kestra

Уязвимости
12
Эксплуатируемые
0
Критический
2
Высокий
0

Топ продуктов

Топ уязвимостей

CVE-2026-38428Ketra v1.3.3 и раньше уязвима для инъекций SQL. Уязвимость возникает из-за того, что управляемый пользователем вход из параметра GET напрямую состоит в SQL-запрос без надлежащей дезинфекции или параметризации. В результате злоумышленники могут вводить произвольные SQL-выражения в запрос базы данных.
CVE-2026-34612Kestra - это платформа оркестровки с открытым исходным кодом, управляемая событиями. До версии 1.3.7, Kestra (развертывание docker-compose по умолчанию) содержит уязвимость SQL Injection, которая приводит к удаленному исполнению кода (RCE) в следующей конечной точке "GET /api/v1/main/flows/search". Как только пользователь аутентифицирован, достаточно простого посещения созданной ссылки, чтобы вызвать уязвимость. Впрыскованная полезная нагрузка выполняется PostgreSQL с использованием COPY ... TO PROGRAM ..., которая в свою очередь запускает произвольные команды ОС на хоста. Эта проблема была исправлена в версии 1.3.7.
CVE-2026-33664Kestra - это платформа оркестровки с открытым исходным кодом, управляемая событиями, вплоть до 1.3.3, отображающая поля метаданных потока YAML, поставляемые пользователем, - описание, входы[].Mame, вводы[]. description, вводная страница []. description], входная информация []. Полученный HTML вводится в DOM через V-html Vue без какой-либо дезинфекции. Это позволяет автору потока встраивать произвольный JavaScript, который выполняется в браузере любого пользователя, который просматривает или взаимодействует с потоком. Это отличается от GHSA-r36c-83hm-pc8j / CVE-2026-29082, который охватывает только файлы FilePreview.vue, отображающие .md файлы из выводов выполнения. Настоящие данные затрагивают различные компоненты, различные источники данных и требуют значительно меньшего взаимодействия с пользователем (нулевой щелчок для data.displayName). На момент публикации неясно, доступен ли патч.
CVE-2026-29082Kestra - это оркестровая платформа, управляемая событиями. В версиях от 1.1.10 и предыдущих превью файла исполнения Kestra отображает поставляемый пользователям Markdown (.md) с уценкой, инстанцированным как html:rue, и вводит полученный HTML с V-html Vue без дезинфекции. На момент публикации нет общедоступных патчей.
CVE-2025-53543Kestra - это платформа оркестрации, управляемая событиями. Сообщение об ошибке на вкладке «Обзор» выполнения уязвимо к stored XSS из-за неправильной обработки полученного HTTP-ответа. Эта уязвимость исправлена в версии 0.22.0 [1]. Источники: - [1] https://github.com/kestra-io/kestra/security/advisories/GHSA-qpj4-4r6r-wvf4
CVE-2026-55069CVE-2026-55069
CVE-2026-53577CVE-2026-53577
CVE-2026-53576CVE-2026-53576
CVE-2026-49984CVE-2026-49984
CVE-2026-49869CVE-2026-49869
CVE-2026-48129CVE-2026-48129
CVE-2026-45807CVE-2026-45807
Открыть в каталоге с фильтром по вендору →