Katalog CVE

CVE-2026-53577

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.27%

Percentyl 18 — wyżej niż 18% wszystkich znanych CVE

Streszczenie

W Kestra przed wersjami 1.0.45 i 1.3.21 endpoint previewFileFromExecution (GET /api/v1/{tenant}/executions/{executionId}/file/preview) zawiera obejście kontroli dostępu, umożliwiając każdemu uwierzytelnionemu użytkownikowi odczyt plików wyjściowych z dowolnego wykonania w obrębie tego samego dzierżawcy, z pominięciem izolacji na poziomie wykonania i przestrzeni nazw.

Ocena ryzyka

Ryzyko polega na nieautoryzowanym dostępie do wrażliwych danych wyjściowych z innych wykonań, co może prowadzić do wycieku informacji biznesowych lub konfiguracyjnych w obrębie jednego dzierżawcy.

Rekomendacja

Należy natychmiast zaktualizować Kestra do wersji 1.0.45 lub 1.3.21, które zawierają poprawkę eliminującą podatność.

Oryginalny opis (angielski, źródło NVD)

Kestra is an open-source, event-driven orchestration platform. Prior to 1.0.45 and 1.3.21, the previewFileFromExecution endpoint (GET /api/v1/{tenant}/executions/{executionId}/file/preview) contains an access control bypass that allows any authenticated user to read output files from any other execution within the same tenant, bypassing execution-level and namespace-level isolation. This vulnerability is fixed in 1.0.45 and 1.3.21.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS