つみかさね

CVE-2026-38428

Critical(9.8)

CVE-2026-38428 — Kestra ワークフローエンジン SQLインジェクション

公開日: 2026-05-09データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
KestraKestra Technologies<= v1.3.3

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1Kestraのバージョンを確認する
  2. 2v1.3.3以前を使用している場合は最新版へアップデートする
  3. 3アップデートが困難な場合はネットワークアクセス制限を適用する

影響対象

Kestra利用組織

補足

  • -インターネットに公開している場合は特に緊急度が高い
CVEKestraSQLインジェクションワークフロー自動化

概要

Kestraはオープンソースのワークフロー自動化・オーケストレーションプラットフォームです。データパイプラインやCI/CDワークフローの管理に利用されています。

本脆弱性は、GETパラメータからのユーザー入力がSQLクエリに直接結合される問題です。適切なサニタイズやパラメータ化が行われていないため、攻撃者は任意のSQL式を注入してデータベースの内容を取得・改ざん・削除できます。

Kestraをインターネットに公開している環境では、未認証の攻撃者によるデータベース操作が可能となる深刻な脆弱性です。

CVSSベクトル

指標
CVSSスコア9.8
深刻度Critical
CWECWE-89 (SQLインジェクション)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権レベル不要

影響を受けるソフトウェア

製品ベンダー影響バージョン
KestraKestra Technologies<= v1.3.3

修正バージョンと回避策

  • 修正バージョン: Kestraの最新版へアップデートしてください
  • 回避策: Kestraへのネットワークアクセスを信頼されたネットワークに制限し、WAFでSQLインジェクションパターンをブロックしてください

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-38428
GHSA:https://github.com/kestra-io/kestra/security/advisories/GHSA-365w-2m69-mp9x
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。