Katalog CVE

CVE-2026-48129

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.31%

Percentyl 22 — wyżej niż 22% wszystkich znanych CVE

Streszczenie

Kestra to platforma orkiestracji oparta na zdarzeniach, która przed wersjami 1.3.19, 1.2.19, 1.1.19 i 1.0.43 miała problem z zadaniem `inputFiles`. Umożliwiało to zapisanie nazw plików bezpośrednio w katalogu roboczym zadania, co mogło prowadzić do nadpisania plików poza tym katalogiem.

Ocena ryzyka

Wykorzystanie tej podatności może prowadzić do nieautoryzowanego dostępu do systemu plików, co stwarza ryzyko utraty danych lub wprowadzenia złośliwego oprogramowania.

Rekomendacja

Zaleca się aktualizację do wersji 1.3.19, 1.2.19, 1.1.19 lub 1.0.43, aby załatać tę podatność i zabezpieczyć system.

Oryginalny opis (angielski, źródło NVD)

Kestra is an open-source, event-driven orchestration platform. Prior to versions 1.3.19, 1.2.19, 1.1.19, and 1.0.43, Kestra task `inputFiles` writes rendered file names directly under the task working directory. When a flow forwards untrusted execution or webhook data into an `inputFiles` file name, a caller can use `../` path segments to create or overwrite files outside that task working directory on the worker filesystem. Versions 1.3.19, 1.2.19, 1.1.19, and 1.0.43 patch the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS