30秒で判断
対応すべき人:
- Kestra OSS 1.0.x(1.0.45未満)または 1.3.x(1.3.21未満)をセルフホストしている
対応不要な人:
- Kestra 1.0.45 以降または 1.3.21 以降を使用中
- Kestra Cloud を使用しており、セルフホストしていない
確認コマンド:
# Kestraのバージョン確認
docker exec <kestra-container> ./kestra --version
概要
本脆弱性は CVE-2026-49869 と同様のKestra認証バイパスですが、悪用経路が異なります。
Kestra の REST API はリソースを URL パスセグメントでアドレス指定します(例: /api/v1/{tenant}/flows/{namespace}, /api/v1/{tenant}/executions/{namespace}/{id})。認証フィルターは @Filter("/api/v1/**") で全 API リクエストに適用され、パスの末尾が /configs で終わるリクエストをパブリックエンドポイントとして転送します。
攻撃者はテナントやネームスペース等の可変セグメントに configs という文字列リテラルを指定することで、フロー作成エンドポイントや実行トリガーエンドポイントへの認証なしアクセスが可能です。Kestra はシェル・プロセスタスクプラグインをデフォルトで有効化しているため、認証なしで任意のシェルコマンドをKestraコンテナ内のrootとして実行できます。公式の docker-compose.yml は /var/run/docker.sock をマウントしており、これによりホストDockerデーモンへの到達が可能になります。
CVSSベクトル
| 指標 | 値 |
|---|---|
| CVSSスコア | 10.0 |
| 深刻度 | Critical |
| CWE | CWE-94(コードインジェクション)、CWE-288(代替経路を使用した認証バイパス) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | 不要 |
| ユーザー操作 | 不要 |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Kestra OSS | Kestra Technologies | 1.0.x < 1.0.45 |
| Kestra OSS | Kestra Technologies | 1.3.x < 1.3.21 |
修正バージョンと回避策
- 修正バージョン: 1.0.45 または 1.3.21 以降にアップデートしてください
- CVE-2026-49869 との関係: 同一バージョンで両方の認証バイパスが修正されます
- 緊急回避策: Kestra のAPIポートをファイアウォールで外部からアクセス不可能にする
関連リンク
データソース: NVD (NIST), GitHub Advisory Database
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。