Vulnerabilitat d’execució remota de codi a Kestra

ALERTES

09/07/2026

CVE-2026-49869

CRÍTIC (10,0)

CVSS3: 0,0

Kestra és una plataforma d’orquestració de codi obert i basada en esdeveniments. Abans de les versions 1.0.45 i 1.3.21, AuthenticationFilter a Kestra OSS feia servir request.getPath().endsWith(«/configs») per incloure en la llista blanca el punt final de configuració públic de Basic Auth. Com que la comprovació és una coincidència de sufixos en lloc d’una coincidència de ruta exacta, qualsevol ruta API l’últim segment de la qual sigui configs ignora completament l’autenticació. Un atacant remot no autenticat pot explotar això per crear i executar fluxos de treball arbitraris sense credencials. Com que Kestra inclou complements d’execució de scripts (plugin-script-shell, plugin-script-python, etc.) habilitats per defecte, això provoca directament l’execució remota de codi no autenticat com a root dins del contenidor de treball de Kestra.

Sistemes Afectats

  • Kestra Kestra

Remediació

Aquesta vulnerabilitat es corregeix a les versions 1.0.45 i 1.3.21. Vegeu-ne les Referències.