30秒で判断
対応すべき人:
- Kestra OSS 1.0.x(1.0.45未満)または 1.3.x(1.3.21未満)をセルフホストしている
対応不要な人:
- Kestra 1.0.45 以降または 1.3.21 以降を使用中
- Kestra をインターネット非公開のプライベートネットワークのみで使用しており、外部からのアクセスが完全に制限されている(それでもアップデート推奨)
- Kestra Cloud を使用しており、セルフホストしていない
確認コマンド:
# Kestraのバージョン確認(Docker環境)
docker exec <kestra-container> ./kestra --version
# ネットワーク公開状況の確認
curl -s http://localhost:8080/api/v1/configs 2>/dev/null && echo "認証バイパスの可能性あり" || echo "アクセス不可"
概要
Kestra はオープンソースのイベント駆動型ワークフローオーケストレーションプラットフォームです。バージョン 1.0.45 および 1.3.21 より前のバージョンにおいて、REST APIの認証フィルター(AuthenticationFilter)が request.getPath().endsWith("/configs") によってパブリック設定エンドポイントをホワイトリスト登録しています。
この判定はパスの末尾のみに対する サフィックスマッチ であるため、パスの最後のセグメントが configs であれば、フロー作成(/api/v1/{tenant}/flows/{namespace}/configs)や実行トリガーなど、任意のAPIパスで認証が完全にバイパスされます。
Kestra はデフォルトでシェルスクリプト実行プラグイン(plugin-script-shell、plugin-script-python 等)が有効であるため、認証なしでワークフローを作成・実行し、Kestraワーカーコンテナ内でrootとして任意コードを実行できます。公式の docker-compose.yml が /var/run/docker.sock をマウントしている場合、コンテナからホストのDockerデーモンへの到達も可能であり、ホストシステム全体の侵害につながります。
関連脆弱性として、同様の認証バイパスを別の経路で悪用する CVE-2026-53576(CVSS 10.0)も同日公開されています。
CVSSベクトル
| 指標 | 値 |
|---|---|
| CVSSスコア | 10.0 |
| 深刻度 | Critical |
| CWE | CWE-78(OSコマンドインジェクション)、CWE-184(不完全な許可リスト)、CWE-287(不適切な認証)、CWE-918(SSRF) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | 不要 |
| ユーザー操作 | 不要 |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Kestra OSS | Kestra Technologies | 1.0.x < 1.0.45 |
| Kestra OSS | Kestra Technologies | 1.3.x < 1.3.21 |
修正バージョンと回避策
- 修正バージョン: 1.0.45 または 1.3.21 以降にアップデートしてください
- 緊急回避策(アップデートが即座に適用できない場合):
- Kestraの管理ポートをインターネットに直接公開しないようにファイアウォールで制限する
- リバースプロキシ(nginx等)で
/api/へのアクセスに追加の認証層を設ける
- 確認事項: Docker Compose で
/var/run/docker.sockをマウントしている場合、コンテナからホストへの到達リスクがあるため、マウントの必要性を見直してください
関連リンク
データソース: NVD (NIST), GitHub Advisory Database
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。