CyberRota
← Ana sayfaya dön

CVE-2026-48129

MEDIUM · CVSS 6.5 EPSS %0.31 Public Exploit

Kaynak: NVD + CISA KEV + EPSS · Yayınlanma: 2026-06-19T21:16:59.413 · Çekilme zamanı: 2026-06-30T18:28:27.012000+00:00

CyberRota Yorumu

Detaylı analiz gerekiyor.

Public Exploit Sinyali

Bu CVE için açıklama veya referanslarda public exploit / PoC / GitHub / Metasploit sinyali tespit edildi.

GitHub PoC Linkleri
github.com

Not: Bu bağlantılar yalnızca güvenlik araştırması ve doğrulama amacıyla listelenmiştir.

CVE
CVE-2026-48129
Severity
MEDIUM
CVSS
6.5
EPSS
%0.31

Orijinal NVD Açıklaması

Kestra is an open-source, event-driven orchestration platform. Prior to versions 1.3.19, 1.2.19, 1.1.19, and 1.0.43, Kestra task `inputFiles` writes rendered file names directly under the task working directory. When a flow forwards untrusted execution or webhook data into an `inputFiles` file name, a caller can use `../` path segments to create or overwrite files outside that task working directory on the worker filesystem. Versions 1.3.19, 1.2.19, 1.1.19, and 1.0.43 patch the issue.