PT-2026-60111 · Unknown · Woodpecker Ci
Publicado
2026-07-14
·
Atualizado
2026-07-15
·
CVE-2026-61549
CVSS v4.0
8.2
Alta
| Vetor | AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
Woodpecker CI versões v1.0.0 through v3.15.0
Description
Um problema de escalonamento de privilégios afeta instâncias que utilizam o backend Kubernetes. A opção de pipeline
backend options.kubernetes.serviceAccountName é passada diretamente para a especificação do pod sem qualquer controle administrativo. Usuários com permissão de Push em um repositório conectado podem executar pods de pipeline sob qualquer ServiceAccount no namespace do pipeline, obtendo as permissões de RBAC (Role-Based Access Control) dessa conta. Se um ServiceAccount privilegiado estiver acessível nesse namespace, isso pode levar à exfiltração de segredos (credenciais de banco de dados, chaves de API, certificados TLS) e ao controle total do cluster.Recommendations
Atualize para uma versão posterior à v3.15.0.
Restrinja o acesso de Push em repositórios conectados à instância com backend Kubernetes apenas a usuários confiáveis.
Reforce o namespace do pipeline, garantindo que nenhum ServiceAccount privilegiado exista ou esteja vinculado ao namespace onde os pods do pipeline são executados, e mantenha o ServiceAccount
default com privilégios mínimos.
Desative o automontagem de tokens de ServiceAccount para contas que não devem ser usadas por pipelines.
Implemente uma política de admissão que rejeite pods de pipeline que definam um serviceAccountName inesperado.
Utilize um namespace dedicado e isolado por organização ou instância, sem vínculos de RBAC sensíveis.Correção
Missing Authorization
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Woodpecker Ci