Vulnerabilidad en kestra de kestra-io (CVE-2026-33664)

Kestra es una plataforma de orquestación de código abierto impulsada por eventos. Las versiones hasta la 1.3.3 inclusive renderizan los campos de metadatos YAML de flujo proporcionados por el usuario — description, inputs[].displayName, inputs[].description — a través del componente Markdown.vue instanciado con html: true. El HTML resultante se inyecta en el DOM a través de v-html de Vue sin ninguna sanitización. Esto permite a un autor de flujo incrustar JavaScript arbitrario que se ejecuta en el navegador de cualquier usuario que vea o interactúe con el flujo. Esto es distinto de GHSA-r36c-83hm-pc8j / CVE-2026-29082, que cubre solo la renderización de archivos .md por FilePreview.vue a partir de las salidas de ejecución. El hallazgo actual afecta a diferentes componentes, diferentes fuentes de datos y requiere significativamente menos interacción del usuario (cero clics para input.displayName). Al momento de la publicación, no está claro si hay un parche disponible.