PT-2026-4956 · Kyverno · Kyverno
Thevilledev
·
Publicado
2026-01-27
·
Atualizado
2026-04-16
·
CVE-2026-23881
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Versões do Kyverno anteriores à 1.16.3
Versões do Kyverno anteriores à 1.15.3
Descrição
O Kyverno é um mecanismo de políticas para equipes de engenharia de plataforma cloud native. As versões afetadas apresentam consumo de memória ilimitado dentro do mecanismo de políticas. Usuários com privilégios de criação de políticas podem desencadear uma negação de serviço criando políticas que amplificam exponencialmente dados de string usando variáveis de contexto. Este problema é semelhante a um ataque do estilo 'Billion Laughs', onde um invasor pode fazer o sistema travar esgotando a memória disponível.
Recomendações
Atualize para a versão 1.16.3 ou posterior do Kyverno.
Atualize para a versão 1.15.3 ou posterior do Kyverno.
Exploit
Correção
DoS
Allocation of Resources Without Limits
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Kyverno