CVE-2026-53577
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 18 — wyżej niż 18% wszystkich znanych CVE
Streszczenie
W Kestra przed wersjami 1.0.45 i 1.3.21 endpoint previewFileFromExecution (GET /api/v1/{tenant}/executions/{executionId}/file/preview) zawiera obejście kontroli dostępu, umożliwiając każdemu uwierzytelnionemu użytkownikowi odczyt plików wyjściowych z dowolnego wykonania w obrębie tego samego dzierżawcy, z pominięciem izolacji na poziomie wykonania i przestrzeni nazw.
Ocena ryzyka
Ryzyko polega na nieautoryzowanym dostępie do wrażliwych danych wyjściowych z innych wykonań, co może prowadzić do wycieku informacji biznesowych lub konfiguracyjnych w obrębie jednego dzierżawcy.
Rekomendacja
Należy natychmiast zaktualizować Kestra do wersji 1.0.45 lub 1.3.21, które zawierają poprawkę eliminującą podatność.
Oryginalny opis (angielski, źródło NVD)
Kestra is an open-source, event-driven orchestration platform. Prior to 1.0.45 and 1.3.21, the previewFileFromExecution endpoint (GET /api/v1/{tenant}/executions/{executionId}/file/preview) contains an access control bypass that allows any authenticated user to read output files from any other execution within the same tenant, bypassing execution-level and namespace-level isolation. This vulnerability is fixed in 1.0.45 and 1.3.21.

