CVE-2026-62290 in cert-managerinfo

Zusammenfassung

von VulDB • 17.07.2026

cert-manager fügt Zertifikate und Zertifizierungsstellen als Ressourcentypen in Kubernetes-Clustern hinzu und vereinfacht den Prozess der Beschaffung, Erneuerung und Nutzung dieser Zertifikate. Von Version 1.18.0 bis einschließlich 1.19.6 sowie in Version 1.20.3 können Challenge-Ressourcen unter acme.cert-manager.io direkt von Namespace-Benutzern erstellt werden, ohne dass eine Admission-Validierung erfolgt, die den Challenge an einen Order, eine Owner-Referenz oder einen vom Issuer ausgewählten Solver bindet. Dies ermöglicht es Angreifern, angreiferkontrollierte Werte in Challenge.spec.solver zu verwenden, die auf einen ClusterIssuer verweisen, um DNS01-Solver-Selektoren wie dnsZones, dnsNames und matchLabels zu umgehen. Dadurch kann cert-manager dazu gebracht werden, DNS-Anmeldeinformationen des ClusterIssuers für von Angreifern ausgewählte Provider-Einstellungen und DNS-Namen zu verwenden, was zur Offenlegung der X-Api-User- und X-Api-Key-Headers für acme-dns führen kann. Dieses Problem wurde in den Versionen 1.19.6 und 1.20.3 behoben.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

GitHub M

Reservieren

13.07.2026

Veröffentlichung

16.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379628

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Do you know our Splunk app?

Download it now for free!