CVE-2026-38428
KrytyczneStreszczenie
Kestra w wersji 1.3.3 i wcześniejszych jest podatna na atak typu SQL Injection. Podatność występuje, ponieważ dane wejściowe kontrolowane przez użytkownika z parametru GET są bezpośrednio łączone z zapytaniem SQL bez odpowiedniej sanitizacji lub parametryzacji.
Ocena ryzyka
Atakujący mogą wstrzykiwać dowolne wyrażenia SQL do zapytania bazy danych, co może prowadzić do nieautoryzowanego dostępu do danych lub ich modyfikacji.
Rekomendacja
Zaleca się aktualizację Kestra do najnowszej wersji oraz wdrożenie odpowiednich mechanizmów sanitizacji i parametryzacji danych wejściowych.
Oryginalny opis (angielski, źródło NVD)
Kestra v1.3.3 and before is vulnerable to SQL Injection. The vulnerability occurs because user-controlled input from a GET parameter is directly concatenated into an SQL query without proper sanitization or parameterization. As a result, attackers can inject arbitrary SQL expressions into the database query.

