CVE-2026-41184

Nome do Software Vulnerável e Versões Afetadas Calico (versões afetadas não especificadas)

Descrição O contêiner de inicialização install-cni registra a configuração CNI renderizada na saída padrão. Em implantações Canal ou Flannel-Calico onde o modelo de configuração usa o marcador SERVICEACCOUNT TOKEN, o instalador substitui o token de portador do ServiceAccount do Kubernetes ativo antes do registro. Isso expõe o token a qualquer usuário autenticado com permissões de pods/log no namespace que contém o calico-node. O token exposto possui privilégios de patch em pods/status, o que pode ser usado para realizar ataques baseados em anotações contra cargas de trabalho do cluster. O caminho de autenticação padrão baseado em kubeconfig não é afetado.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.