PT-2026-45027 · Go+1 · Github.Com/Metal3-Io/Ip-Address-Manager+1
Publicado
2026-05-29
·
Atualizado
2026-06-12
·
CVE-2026-47190
CVSS v3.1
4.4
Média
| Vetor | AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
IPAM versões anteriores a 1.11.7
IPAM versões anteriores a 1.12.4
IPAM versões anteriores a 1.13.0
Description
A ClusterRole do controlador IPAM concede permissões excessivas de CRUD (create, delete, get, list, patch, update, watch) em Secrets core/v1, embora o controlador não necessite de acesso a Secrets durante a operação normal. Se o pod do controlador for comprometido por meio de um escape de container ou ataque de cadeia de suprimentos, um invasor poderá usar essas permissões para ler, modificar ou excluir Secrets no namespace, levando à potencial exposição de credenciais e dados sensíveis.
Recommendations
Atualize para a versão 1.11.7
Atualize para a versão 1.12.4
Atualize para a versão 1.13.0
Como medida paliativa temporária, remova manualmente a entrada de recurso Secrets da ClusterRole
metal3-ipam-controller-manager-role.Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Github.Com/Metal3-Io/Ip-Address-Manager
Ip Address Manager