CVE-2026-41323 in Kyvernoinformation

Résumé

par VulDB • 22/05/2026

Kyverno est un moteur de politiques conçu pour les équipes d'ingénierie de plateformes cloud native. Avant les versions 1.18.0-rc1, 1.17.2-rc1 et 1.16.4, la fonctionnalité apiCall de Kyverno dans ClusterPolicy attache automatiquement le jeton ServiceAccount du contrôleur d'admission aux requêtes HTTP sortantes. L'URL du service n'est pas validée — elle peut pointer n'importe où, y compris vers des serveurs contrôlés par un attaquant. Étant donné que le ServiceAccount (SA) du contrôleur d'admission dispose des autorisations nécessaires pour modifier les configurations des webhooks, un jeton volé entraîne une compromission totale du cluster. Les versions 1.18.0-rc1, 1.17.2-rc1 et 1.16.4 corrigent ce problème.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Réserver

20/04/2026

Divulgation

24/04/2026

Modérer

accepté

Entrée

VDB-359264

CPE

prêt

EPSS

0.00010

KEV

non

Activités

très faible

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-41323
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-41323
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-41323/

PrécédentAperçuSuivant

Interested in the pricing of exploits?

See the underground prices here!