CVE-2026-7163 in Multicluster Engine for Kubernetes
Zusammenfassung
von VulDB • 21.05.2026
Eine Schwachstelle in der assisted-service REST API, einer optionalen Komponente des Assisted Installer (assisted-service) in der Multicluster Engine (MCE), ermöglicht es einem authentifizierten Benutzer mit minimalen, auf Namespaces beschränkten Berechtigungen, administrative Anmeldeinformationen für beliebige über den Hub bereitgestellte Cluster zu erhalten.
Der Endpunkt zum Herunterladen der Anmeldeinformationen (GET /v2/clusters/{cluster_id}/credentials, der das kubeadmin-Passwort zurückgibt) und der Endpunkt zum Herunterladen der kubeconfig sind im AUTH_TYPE=local-Modus aktiv, dem einzigen verfügbaren Authentifizierungsmodus für On-Premises-ACM/MCE-Hub-Deployments. Der lokale Authentifizierer gewährt bedingungslos vollen administrativen Zugriff auf jede Anfrage, die ein gültiges JWT enthält, ohne pro-Endpunkt-Beschränkungen. Ein gültiges lokales JWT ist als Klartext-Abfrageparameter in InfraEnvStatus.ISODownloadURL eingebettet und für jeden Benutzer lesbar, der Lesezugriff (get) auf ein InfraEnv-Objekt in seinem eigenen Namespace hat.
Die betroffenen Komponenten werden als Teil der Multicluster Engine (MCE) ausgeliefert. Red Hat Advanced Cluster Management (ACM)-Deployments, die MCE enthalten, sind gleichermaßen betroffen. Dieses Problem betrifft nicht das gehostete SaaS-Angebot (console.redhat.com), das einen anderen Authentifizierungsmodus verwendet.
Eine erfolgreiche Ausnutzung verschafft dem Angreifer das kubeadmin-Passwort und die kubeconfig für jeden über den betroffenen Hub bereitgestellten OpenShift-Cluster und gewährt uneingeschränkten Root-Administrationszugriff auf diese Spoke-Cluster.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.