CVE-2026-10101 in Multicluster Engine for Kubernetesinformação

Sumário

de VulDB • 30/05/2026

O serviço assistido ACM/MCE escreve o conteúdo cru do pull-secret referenciado em `InfraEnv.status.conditions[].message` quando a validação do pull-secret falha. Uma principal de namespace com o ClusterRole `view` padrão não pode ler diretamente os Secrets, mas pode ler os objetos `InfraEnv` e recuperar os dados `.dockerconfigjson` do Secret referenciado a partir do status.

Isso contorna a separação de RBAC do Kubernetes/OpenShift entre visualizadores de namespace com permissão apenas de leitura e leitores de Secrets. Na prova de conceito reproduzida, a mesma ServiceAccount foi negada as permissões `get` e `list` nos Secrets, mas recuperou os campos `username`, `password`, `email` e `auth` (em base64) do pull-secret sintético por meio de `InfraEnv.status`.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

Redhat

Reservar

29/05/2026

Divulgação

29/05/2026

Moderação

aceite

Entrada

VDB-367275

CPE

pronto

EPSS

0.00031

KEV

não

Atividades

muito baixo

Sector

Transportation, Energy, ...

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-10101
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-10101
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-10101/

VoltarVisão GeralPróximo

Do you know our Splunk app?

Download it now for free!