CVE-2026-40868

Name of the Vulnerable Software and Affected Versions Kyverno versões anteriores a 1.16.4

Description O auxiliar servicecall do apiCall injeta implicitamente um cabeçalho 'Authorization: Bearer ...' usando o token de conta de serviço do controlador kyverno quando uma política não define explicitamente um cabeçalho de Autorização. Como a variável context.apiCall.service.url é controlada pela política, isso pode levar a um cenário de confused deputy, onde o token da conta de serviço é enviado para um endpoint controlado por um invasor. Este problema está limitado ao ClusterPolicy e ao uso de contexto global, pois as políticas de namespace são bloqueadas do uso de servicecall pelo gate urlPath no arquivo pkg/engine/apicall/apiCall.go. Um invasor com a capacidade de criar ou atualizar um ClusterPolicy ou criar uma GlobalContextEntry pode escolher a URL e os cabeçalhos da requisição para exfiltrar o token.

Recommendations Atualizar para a versão 1.16.4. Definir um cabeçalho de Autorização explícito em políticas de servicecall para evitar a injeção implícita de tokens. Evitar o uso de servicecall para URLs arbitrárias em políticas.