Pubblicato il 2026-06-26 · Fonte: NVD NIST
La piattaforma di orchestrazione Kestra OSS presenta una vulnerabilità critica che consente a un attaccante remoto non autenticato di creare e eseguire flussi di lavoro arbitrari senza credenziali. Ciò è possibile a causa di un controllo di suffisso invece di un controllo di percorso esatto nell'endpoint di configurazione pubblica. La versione interessata è precedente a 1.0.45 e 1.3.21. La vulnerabilità è classificata come CWE-78 e ha un punteggio CVSS di 10.0, indicando un impatto critico.
Un attaccante remoto non autenticato può sfruttare questa vulnerabilità per eseguire codice arbitrario all'interno del contenitore del lavoratore Kestra, poiché Kestra include plugin di esecuzione di script abilitati per default. Ciò può portare a un'esecuzione di codice remoto non autorizzata come utente root all'interno del contenitore del lavoratore Kestra.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare Kestra OSS alla versione 1.0.45 o 1.3.21. In assenza di un aggiornamento disponibile, è importante limitare l'accesso alla piattaforma e monitorare le attività sospette. Inoltre, è fondamentale seguire le migliori pratiche di sicurezza per ridurre il rischio di attacchi, come utilizzare autenticazione robusta e autorizzazione per tutti gli endpoint.
La vulnerabilità CVE-2026-49869 è una vulnerabilità critica in Kestra OSS che consente l'esecuzione di codice remoto senza autenticazione.
L'impatto della vulnerabilità è l'esecuzione di codice arbitrario all'interno del contenitore del lavoratore Kestra come utente root.
Per proteggersi, è necessario aggiornare Kestra OSS alla versione 1.0.45 o 1.3.21 e seguire le migliori pratiche di sicurezza per limitare l'accesso e monitorare le attività sospette.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.