CVE-2026-34612 — 神龙十问 AI 深度分析摘要
CVSS 10.0 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
**本质**:Kestra 编排平台的 **SQL 注入漏洞** 💉 **后果**: - 🚨 远程代码执行(RCE) - 🚨 直接控制宿主机操作系统 - 🚨 完整服务器接管
Q2根本原因?(CWE/缺陷点)
**CWE-89**:SQL 注入 **缺陷点**: - 🔍 `GET /api/v1/main/flows/search` 端点 - 🔍 用户输入未过滤直接拼入 SQL - 🔍 PostgreSQL `COPY ... TO PROGRAM ...` 被滥用执行系统命令
Q3影响谁?(版本/组件)
**受影响版本**:< 1.3.7 ⚠️ **组件**: - 🎯 Kestra 核心平台 - 🎯 默认 docker-compose 部署配置 - 🎯 配套 PostgreSQL 数据库
Q4黑客能干啥?(权限/数据)
**黑客权限**:🔥 **SYSTEM 级** **能干的事**: - 💀 执行任意 OS 命令 - 💀 窃取全部数据 - 💀 横向移动/植入后门 - 💀 删除/加密勒索
Q5利用门槛高吗?(认证/配置)
**门槛:低** ✅ **条件**: - 🔑 需要 **身份认证**(普通用户即可) - 🔑 仅需访问一个 **构造好的链接** - 🔑 无需交互、无需管理员权限 - 🔑 网络可达即可利用
Q6有现成Exp吗?(PoC/在野利用)
**PoC**:❌ 未公开(`"pocs": []`) **在野利用**:未知 ⚠️ **但注意**: - 💡 漏洞原理清晰(SQLi → RCE) - 💡 利用链简单,攻击者易自行构造
Q7怎么自查?(特征/扫描)
**自查方法**: - 🔍 **版本检查**:`kestra --version` 或 UI 查看 - 🔍 **流量特征**:监控 `/api/v1/main/flows/search` 的异常参数 - 🔍 **日志审计**:PostgreSQL 日志中查找 `COPY ... TO PROGRAM` - 🔍 **漏洞扫描**:关注 1.3.7 以下版本的 SQLi 检测
Q8官方修了吗?(补丁/缓解)
**已修复** ✅ **补丁**: - 🛡️ 版本 **1.3.7** 已发布 - 🛡️ Commit: `3926762795df8ad3e03924b370c51832ed3a21d3` - 🛡️ 官方安全公告:GHSA-365w-2m69-mp9x **立即升级** ⬆️
Q9没补丁咋办?(临时规避)
**临时规避**(无法升级时): - 🚫 **WAF 规则**:拦截 `COPY.*TO.*PROGRAM` 模式 - 🚫 **网络隔离**:限制 `/api/v1/main/flows/search` 访问来源 - 🚫 **权限收紧**:禁用非必要用户的数据库命令执行权限 - 🚫 **监控告警**:对异常 SQL 语句实时阻断
Q10急不急?(优先级建议)
**优先级:🔴 CRITICAL(最高)** **理由**: - ⚡ CVSS 3.1 评分:**9.9**(接近满分) - ⚡ 网络可利用 + 低权限要求 + 完全系统控制 - ⚡ 编排平台通常持有云凭证/敏感配置 **行动**:**24小时内升级** ⏰