CVE-2026-44882

Nome do Software Vulnerável e Versões Afetadas portainer-ce versões 2.33.0 a 2.33.7 portainer-ce-agent versões 2.33.0 a 2.33.7

Description Existe uma falha de bypass de autorização na camada de middleware kubeClientMiddleware dentro do arquivo api/http/handler/kubernetes/handler.go. O middleware valida os tokens de usuário antes de encaminhar o tráfego para clusters Kubernetes; no entanto, quando a função security.RetrieveTokenData() retorna um erro, o sistema escreve uma resposta HTTP 403, mas não interrompe a execução. Isso permite que a requisição prossiga para o manipulador com um valor tokenData nulo, ignorando as verificações de autorização. Um invasor com uma sessão válida do Portainer pode usar essa falha para ler ou modificar recursos do Kubernetes, como pods, secrets, config maps e deployments, em endpoints de destino que sua função não deveria permitir. Isso pode potencialmente levar à movimentação lateral se credenciais sensíveis forem recuperadas de secrets do Kubernetes.

Recommendations Atualizar o portainer-ce para a versão 2.33.8. Atualizar o portainer-ce-agent para a versão 2.33.8. Restringir o acesso aos endpoints do Kubernetes, removendo o acesso para usuários que não necessitem dele. Auditar o RBAC do Kubernetes para garantir que a conta de serviço utilizada pelo Portainer siga o princípio do privilégio mínimo.