CVE-2026-62290 in cert-managerinformazioni

Riassunto

di VulDB • 16/07/2026

cert-manager aggiunge certificati e emittenti di certificati come tipi di risorsa nei cluster Kubernetes, semplificando il processo di ottenimento, rinnovo e utilizzo di tali certificati. Dalla versione 1.18.0 fino alle versioni 1.19.6 (esclusa) e 1.20.3 (esclusa), le risorse Challenge sotto acme.cert-manager.io possono essere create direttamente dagli utenti dello spazio dei nomi senza una convalida di ammissione che colleghi la Challenge a un Order, a un riferimento al proprietario o a un solver selezionato dall'Issuer, consentendo ai valori attacker-controlled di Challenge.spec.solver che fanno riferimento a un ClusterIssuer di bypassare i selettori del solver DNS01 come dnsZones, dnsNames e matchLabels e indurre cert-manager a utilizzare le credenziali DNS del ClusterIssuer per impostazioni provider selezionate dall'attaccante e nomi DNS, inclusa la divulgazione delle intestazioni X-Api-User e X-Api-Key per acme-dns. Questo problema è risolto nelle versioni 1.19.6 e 1.20.3.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

GitHub M

Prenotare

13/07/2026

Divulgazione

16/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!