PT-2026-57989 · Red Hat+1 · Openshift Data Foundation+2

Publicado

2026-07-14

·

Atualizado

2026-07-14

·

CVE-2026-15416

CVSS v3.1

8.9

Alta

VetorAV:A/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L
Nome do Software Vulnerável e Versões Afetadas OpenShift Data Foundation 4 odf-multicluster-rhel9-operator (versões afetadas não especificadas) OpenShift GitOps argocd-image-updater-rhel8 (versões afetadas não especificadas) OpenShift GitOps argocd-rhel8 (versões afetadas não especificadas) OpenShift GitOps gitops-operator-bundle (versões afetadas não especificadas) OpenShift GitOps gitops-rhel8 (versões afetadas não especificadas) OpenShift GitOps gitops-rhel8-operator (versões afetadas não especificadas)
Description Uma falha no repo-server do Argo CD permite que um invasor não autenticado com acesso de rede ao endpoint gRPC interno execute código remotamente. Se o invasor também conseguir acessar o cache Redis, ele poderá manipular dados de implantação armazenados em cache para implantar recursos maliciosos do Kubernetes em clusters gerenciados, o que pode resultar no comprometimento total do cluster.
Recommendations Restrinja os serviços repo-server e Redis utilizando NetworkPolicies para garantir que não estejam expostos externamente ou a pods não confiáveis. Aplique as correções do fornecedor para odf-multicluster-rhel9-operator, argocd-image-updater-rhel8, argocd-rhel8, gitops-operator-bundle, gitops-rhel8 e gitops-rhel8-operator assim que estiverem disponíveis.

Correção

Missing Authentication

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-15416

Produtos afetados

Argo Cd
Openshift Data Foundation
Openshift Gitops