Katalog CVE

CVE-2026-53576

KrytyczneCVSS 10.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.47%

Percentyl 37 — wyżej niż 37% wszystkich znanych CVE

Streszczenie

W Kestra przed wersjami 1.0.45 i 1.3.21 filtr uwierzytelniania REST API pomija sprawdzanie poświadczeń dla żądań kończących się na '/configs'. Niezalogowany atakujący może wykorzystać to do tworzenia przepływów z zadaniami Shell lub Process, które wykonują się jako root w kontenerze, a przez zamontowany /var/run/docker.sock uzyskują dostęp do demona Dockera na hoście.

Ocena ryzyka

Organizacja narażona jest na całkowite przejęcie kontenera i hosta Docker przez nieuwierzytelnionego atakującego, co może prowadzić do wykonania dowolnego kodu, kradzieży danych lub zakłócenia działania systemu.

Rekomendacja

Należy natychmiast zaktualizować Kestra do wersji 1.0.45 lub 1.3.21. Jeśli aktualizacja nie jest możliwa, tymczasowo zablokuj dostęp do endpointów REST API dla nieuwierzytelnionych użytkowników na poziomie firewalla lub reverse proxy.

Oryginalny opis (angielski, źródło NVD)

Kestra is an open-source, event-driven orchestration platform. Prior to 1.0.45 and 1.3.21, the authentication filter for the REST API (@Filter("/api/v1/**")) treats any request whose path ends in /configs as the public instance-config endpoint and forwards it without a credential check. kestra addresses its resources by URL path segments that the caller chooses (/api/v1/{tenant}/flows/{namespace}, /api/v1/{tenant}/executions/{namespace}/{id}, /api/v1/{tenant}/namespaces/{namespace}/kv/{key}). An anonymous caller picks the literal configs as the final segment, and the request bypasses Basic-Auth entirely. Because the bypass reaches the flow-create and execution-trigger routes, an unauthenticated caller creates a flow containing a Shell or Process task and runs it. The task executes as root inside the kestra container. The official docker-compose.yml mounts /var/run/docker.sock, so root in the container reaches the host Docker daemon. This vulnerability is fixed in 1.0.45 and 1.3.21.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS