CVE-2026-22039

Nome do Software Vulnerável e Versões Afetadas Versões do Kyverno anteriores a 1.16.3 e 1.15.3

Descrição O Kyverno, um mecanismo de políticas para equipes de engenharia de plataforma nativa da nuvem, contém uma violação crítica de limite de autorização no apiCall de Policy do Kyverno com escopo de namespace. O urlPath resolvido é executado usando o ServiceAccount do controlador de admissão do Kyverno sem impor limitações de namespace. Isso permite que qualquer usuário autenticado com permissão para criar uma Policy com escopo de namespace realize requisições à API Kubernetes usando a identidade do controlador de admissão do Kyverno, potencialmente tendo como alvo qualquer caminho de API permitido pelo RBAC daquele ServiceAccount. Isso compromete o isolamento de namespace, permitindo leituras entre namespaces de recursos como ConfigMaps e Secrets, e permite gravações com escopo de cluster ou entre namespaces, como a criação de ClusterPolicies, ao controlar o urlPath por meio de substituição de variáveis de contexto. A vulnerabilidade existe na forma como o Kyverno trata entradas de contexto apiCall, especificamente a substituição de variáveis no campo URLPath sem sanitização adequada ou validação de autorização. Um atacante pode construir qualquer caminho de API válido para acessar e modificar recursos aos quais não deveria ter acesso. Isso pode levar à exfiltração de dados, à interrupção de todo o cluster através da criação de recursos ClusterPolicy maliciosos e à potencial escalonação de privilégios. A vulnerabilidade afeta tanto a recuperação de dados quanto a capacidade de criar recursos em nível de cluster.

Recomendações Atualize o Kyverno para a versão 1.16.3 ou 1.15.3.