PT-2026-57989 · Red Hat+1 · Openshift Data Foundation+2
Publicado
2026-07-14
·
Atualizado
2026-07-14
·
CVE-2026-15416
CVSS v3.1
8.9
Alta
| Vetor | AV:A/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L |
Nome do Software Vulnerável e Versões Afetadas
OpenShift Data Foundation 4
odf-multicluster-rhel9-operator (versões afetadas não especificadas)
OpenShift GitOps argocd-image-updater-rhel8 (versões afetadas não especificadas)
OpenShift GitOps argocd-rhel8 (versões afetadas não especificadas)
OpenShift GitOps gitops-operator-bundle (versões afetadas não especificadas)
OpenShift GitOps gitops-rhel8 (versões afetadas não especificadas)
OpenShift GitOps gitops-rhel8-operator (versões afetadas não especificadas)Description
Uma falha no repo-server do Argo CD permite que um invasor não autenticado com acesso de rede ao endpoint gRPC interno execute código remotamente. Se o invasor também conseguir acessar o cache Redis, ele poderá manipular dados de implantação armazenados em cache para implantar recursos maliciosos do Kubernetes em clusters gerenciados, o que pode resultar no comprometimento total do cluster.
Recommendations
Restrinja os serviços repo-server e Redis utilizando NetworkPolicies para garantir que não estejam expostos externamente ou a pods não confiáveis.
Aplique as correções do fornecedor para
odf-multicluster-rhel9-operator, argocd-image-updater-rhel8, argocd-rhel8, gitops-operator-bundle, gitops-rhel8 e gitops-rhel8-operator assim que estiverem disponíveis.Correção
Missing Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Argo Cd
Openshift Data Foundation
Openshift Gitops