漏洞概述 在 Kestra v1.3.7 版本中,修复了以下安全漏洞: SQL 注入漏洞:在日志记录(logger)和测试(tests)模块中发现 SQL 注入风险。 分页绕过漏洞:在 secrets 模块中,分页功能存在可被绕过的安全问题。 影响范围 日志模块(logs):影响日志记录功能,可能导致恶意 SQL 注入。 测试模块(tests):影响测试执行功能,存在 SQL 注入风险。 密钥管理模块(secrets):影响分页功能,可能被利用绕过安全限制。 修复方案 日志模块: - 添加 属性到 日志记录器,以便在需要时重新渲染。 - 修改任务运行详情组件的高度。 测试模块: - 将 SQL 注入测试移至 模块。 密钥管理模块: - 修复分页功能,防止绕过。 其他相关修复 核心模块(core): - 为 AI Copilot 提供类型验证。 - 在清除所有过滤器时保留页面大小。 - 直接使用日志数组。 执行模块(executions): - 在“执行概览”中始终显示真实 Pebble 表达式变量。 流程与执行模块(flows, executions): - 修复标签编辑器中的 SQL 注入漏洞。 UI 模块(ui): - 仅在输入字符后显示 Pebble 过滤器建议。 - 在“执行概览”中启用 Pebble 自动完成功能。 - 修复 功能。 - 正确重置过滤器并保留其他查询参数。 贡献者 感谢以下贡献者的工作: Luc Mathieu, MilosPavlovic, MiroslavPavlovic, Piyush Bhaskar, Roman Kozlov, YannC, brian-muller-p, brian-muller, github-actions[bot] --- 以上为 Kestra v1.3.7 版本中关于漏洞的关键信息总结。