CVE-2026-44514

Nome do Software Vulnerável e Versões Afetadas Kubetail Dashboard versões anteriores a 0.14.0 Kubetail Helm Chart versões anteriores a 0.23.0 Kubetail CLI versões anteriores a 0.16.0

Description O painel do Kubetail expõe endpoints WebSocket que não validam adequadamente o cabeçalho Origin durante o processo de upgrade da conexão. Isso resulta em Cross-Site WebSocket Hijacking (CSWSH), uma vulnerabilidade onde um site malicioso visitado por um usuário autenticado pode estabelecer uma conexão WebSocket com o painel do usuário. Isso permite que um invasor transmita e exfiltre logs de containers do Kubernetes em tempo real. O problema afeta tanto implantações desktop quanto implantações em cluster que utilizam autenticação básica HTTP, pois os navegadores anexam automaticamente as credenciais ambientes ao handshake do WebSocket. Embora o acesso seja apenas de leitura, os logs podem conter dados sensíveis, como credenciais, tokens de portador, nomes de hosts internos e informações de identificação pessoal (PII).

Recommendations Atualize o Kubetail Dashboard para a versão 0.14.0 ou posterior. Atualize o Kubetail Helm Chart para a versão 0.23.0 ou posterior. Atualize o Kubetail CLI para a versão 0.16.0 ou posterior. Para usuários de desktop, interrompa o processo do painel quando não estiver em uso e evite visitar sites não confiáveis no mesmo perfil de navegador enquanto ele estiver em execução. Para implantações em cluster, restrinja o acesso ao Ingress para uma VPN, bastion ou rede de escritório, ou implemente uma camada de autenticação mais forte, como um proxy OAuth.