Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

CVE-2026-55069

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-916 Uso de hash de contraseña generado con esfuerzo computacional insuficiente
Fecha de publicación:
26/06/2026
Última modificación:
01/07/2026

Descripción

*** Pendiente de traducción *** Kestra is an open-source, event-driven orchestration platform. Prior to 1.3.24, this vulnerability exists in the BasicAuth authentication component of the Kestra OSS workflow orchestration platform. An attacker who gains read access to the PostgreSQL database can exploit SHA-512's high computation speed to recover the administrator password offline. In Kubernetes deployments, a successful crack further enables reading of the cluster ServiceAccount Token and all K8s Secrets, achieving vertical privilege escalation. This vulnerability is fixed in 1.3.24.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:kestra:kestra:*:*:*:*:*:*:*:* 1.3.24 (excluyendo)