PT-2026-60111 · Unknown · Woodpecker Ci

Publicado

2026-07-14

·

Atualizado

2026-07-15

·

CVE-2026-61549

CVSS v4.0

8.2

Alta

VetorAV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N
Nome do Software Vulnerável e Versões Afetadas Woodpecker CI versões v1.0.0 through v3.15.0
Description Um problema de escalonamento de privilégios afeta instâncias que utilizam o backend Kubernetes. A opção de pipeline backend options.kubernetes.serviceAccountName é passada diretamente para a especificação do pod sem qualquer controle administrativo. Usuários com permissão de Push em um repositório conectado podem executar pods de pipeline sob qualquer ServiceAccount no namespace do pipeline, obtendo as permissões de RBAC (Role-Based Access Control) dessa conta. Se um ServiceAccount privilegiado estiver acessível nesse namespace, isso pode levar à exfiltração de segredos (credenciais de banco de dados, chaves de API, certificados TLS) e ao controle total do cluster.
Recommendations Atualize para uma versão posterior à v3.15.0. Restrinja o acesso de Push em repositórios conectados à instância com backend Kubernetes apenas a usuários confiáveis. Reforce o namespace do pipeline, garantindo que nenhum ServiceAccount privilegiado exista ou esteja vinculado ao namespace onde os pods do pipeline são executados, e mantenha o ServiceAccount default com privilégios mínimos. Desative o automontagem de tokens de ServiceAccount para contas que não devem ser usadas por pipelines. Implemente uma política de admissão que rejeite pods de pipeline que definam um serviceAccountName inesperado. Utilize um namespace dedicado e isolado por organização ou instância, sem vínculos de RBAC sensíveis.

Correção

Missing Authorization

Improper Privilege Management

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-61549
GHSA-QF34-295C-26V8

Produtos afetados

Woodpecker Ci