PT-2026-44417 · Tigera · Calicoctl
Anthony Tam
+1
·
Publicado
2026-05-28
·
Atualizado
2026-05-29
·
CVE-2026-6720
CVSS v4.0
7.2
Alta
| Vetor | AV:N/AC:L/AT:P/PR:L/UI:P/VC:H/VI:N/VA:N/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas
calicoctl (versões afetadas não especificadas)
Descrição
Quando o cliente é invocado com
--log-level=info ou --log-level=debug, ele imprime o conteúdo completo de sua estrutura de configuração de conexão carregada no stderr em uma única linha de log. Esta estrutura contém credenciais sensíveis usadas para se comunicar com o cluster, incluindo o kubeconfig inline (com token de portador), o token de portador da API do Kubernetes, a senha do etcd e o certificado e chave do cliente etcd codificados em PEM inline. Isso permite que qualquer leitor do fluxo stderr, como logs de jobs de CI ou arquivos de gravação de sessão, extraia essas credenciais sem a necessidade de privilégios do Kubernetes. Este problema ocorre apenas quando o log detalhado é explicitamente habilitado, pois o nível de log padrão é panic.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.
Insertion into Log File
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Calicoctl