CVE-2026-29042

Nome do Software Vulnerável e Versões Afetadas Versões do Nuclio anteriores à 1.15.20

Descrição O componente Shell Runtime do Nuclio contém um problema de injeção de comando. Quando uma função é invocada via HTTP, o runtime lê o cabeçalho X-Nuclio-Arguments e incorpora diretamente seu valor em comandos de shell sem validação ou sanitização. Isso permite que invasores com permissões de invocação de função injetem comandos maliciosos, potencialmente executando código arbitrário com privilégios de root em contêineres de função, roubando Tokens de ServiceAccount com permissões de nível cluster-admin e, finalmente, obtendo controle completo sobre o cluster Kubernetes. A vulnerabilidade decorre da falta de validação ao processar argumentos fornecidos pelo usuário na função getCommandArguments e da subsequente execução desses argumentos usando sh -c. Os invasores podem explorar isso criando payloads maliciosos no cabeçalho X-Nuclio-Arguments, aproveitando metacaracteres de shell como ponto e vírgula, pipes e crases para injetar comandos arbitrários. A vulnerabilidade afeta todas as versões que incluem o componente Shell Runtime. Uma exploração bem-sucedida pode levar ao comprometimento completo do cluster, incluindo violações de dados, ataques à cadeia de suprimentos e implantação de ransomware.

Recomendações Desative o Shell Runtime definindo enabled: false na configuração da plataforma Nuclio. Restrinja as permissões de implantação de funções usando Controle de Acesso Baseado em Função (RBAC) para limitar quem pode implantar funções. Implemente validação rigorosa de entrada na função getCommandArguments para filtrar caracteres inseguros. Remova o uso da execução sh -c e utilize execução de comando parametrizada em vez disso. Limite as permissões da ServiceAccount usada pelos pods de função para reduzir o impacto potencial de uma exploração bem-sucedida.