Katalog CVE

CVE-2026-45807

WysokieCVSS 7.7
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.37%

Percentyl 29 — wyżej niż 29% wszystkich znanych CVE

Streszczenie

W Kestra przed wersjami 1.0.43 i 1.3.19, kilka endpointów API akceptuje URI kestra:// od klienta i przekazuje je do funkcji StorageInterface.parentTraversalGuard przed odczytaniem pliku z lokalnego backendu pamięci masowej. Ochrona sprawdza tylko literalny URI.toString(), więc zakodowany URL .. zapisany jako %2E%2E przechodzi przez nią. Następnie kod wywołuje URI.getPath(), który dekoduje %2E%2E z powrotem na .., a wynikowa ścieżka jest przekazywana do Paths.get(...) bez normalizacji. System operacyjny rozwiązuje segmenty .. w momencie wywołania open(2), więc uwierzytelniony użytkownik z pojedynczym wykonaniem może odczytać dowolny plik, do którego proces Kestra ma dostęp w systemie plików hosta (/etc/passwd, zamontowane sekrety, wyniki wykonań innych dzierżawców itp.).

Ocena ryzyka

Ryzyko polega na możliwości odczytu wrażliwych plików systemowych, sekretów oraz danych innych użytkowników, co może prowadzić do naruszenia poufności i eskalacji uprawnień w organizacji.

Rekomendacja

Należy natychmiast zaktualizować Kestrę do wersji 1.0.43 lub 1.3.19, które zawierają poprawkę usuwającą podatność na path traversal przez zakodowane URL sekwencje ..

Oryginalny opis (angielski, źródło NVD)

Kestra is an open-source, event-driven orchestration platform. Prior to 1.0.43 and 1.3.19, several Kestra API endpoints accept a kestra:// URI from the client and pass it through StorageInterface.parentTraversalGuard before reading the underlying file from the local storage backend. The guard only inspects the literal URI.toString(), so a URL-encoded .. written as %2E%2E slips through. The downstream code then calls URI.getPath(), which decodes %2E%2E back to .., and the resulting path is handed to Paths.get(...) without normalization. The OS resolves the .. segments at open(2) time, so an authenticated user with a single execution can read any file the Kestra process has access to on the host filesystem (/etc/passwd, mounted secrets, other tenants' execution outputs, etc.). This vulnerability is fixed in 1.0.43 and 1.3.19.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS