CVE-2026-41323 in Kyvernoالمعلومات

الملخص

بحسب VulDB • 09/05/2026

كيروينو (Kyverno) هو محرك سياسات مصمم لفئات مهندسي المنصات السحابية الأصلية. قبل الإصدارات 1.18.0-rc1 و1.17.2-rc1 و1.16.4، كانت ميزة apiCall في ClusterPolicy في كيروينو ترفق تلقائياً رمز حساب الخدمة (ServiceAccount token) الخاص بوحدة التحكم في القبول (admission controller) إلى طلبات HTTP الصادرة. لا تخضع عنوان URL للخدمة لأي تحقق — فقد يشير إلى أي مكان، بما في ذلك الخوادم التي يتحكم فيها المهاجم. ونظراً لأن حساب الخدمة (SA) الخاص بوحدة التحكم في القبول لديه صلاحيات لتعديل تكوينات الويب هوك (webhook configurations)، فإن سرقة الرمز تؤدي إلى اختراق كامل للعنقود (cluster). تقوم الإصدارات 1.18.0-rc1 و1.17.2-rc1 و1.16.4 بإصلاح هذه المشكلة.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

20/04/2026

إفشاء

24/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-359264

CPE

جاهز

CWE

CWE-200 (مؤكد)

CVSS

8.1 (CNA)

EPSS

0.00010

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-41323
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-41323
CVE Details	https://www.cvedetails.com/cve/CVE-2026-41323/

التالي ▸نظرة عامة ◂ السابق

Do you need the next level of professionalism?

Upgrade your account now!