つみかさね

CVE-2026-34612

Critical(9.9)

CVE-2026-34612 — Kestra SQLインジェクションによるリモートコード実行

公開日: 2026-04-05データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Kestrakestra-io< 1.3.7

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1Kestraをdocker-compose構成で利用しているか確認する
  2. 2v1.3.7以降へアップデートする
  3. 3アップデートが困難な場合はsearchエンドポイントへのアクセスを制限する

影響対象

Kestra利用者(docker-compose構成)

補足

  • -docker-compose構成でのデプロイが対象。認証済みユーザーでも悪用可能なため、内部ネットワークでも注意が必要です
CVEKestraSQLインジェクションRCE

概要

オープンソースのイベント駆動オーケストレーションプラットフォームKestraのデフォルトdocker-compose構成において、GET /api/v1/main/flows/searchエンドポイントにSQLインジェクション脆弱性が存在します。認証済みユーザーが細工されたリンクにアクセスするだけで、PostgreSQLのCOPY ... TO PROGRAMを通じてホスト上で任意のOSコマンドが実行されます。

CVSSベクトル

項目
CVSSスコア9.9
深刻度Critical
CWECWE-89(SQLインジェクション)

影響を受けるソフトウェア

製品ベンダー影響バージョン
Kestrakestra-io< 1.3.7

修正バージョンと回避策

  • 修正バージョン: v1.3.7へアップデートしてください
  • 回避策: アップデートまでの間、信頼できないユーザーのアクセスを制限してください

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-34612
GHSA:https://github.com/kestra-io/kestra/security/advisories/GHSA-365w-2m69-mp9x
GitHub Release:https://github.com/kestra-io/kestra/releases/tag/v1.3.7
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。