Plataforma
go
Componente
github.com/kyverno/kyverno
Corregido en
1.15.4
1.16.1
1.15.3
1.15.3
CVE-2026-22039 describe una vulnerabilidad de elevación de privilegios en Kyverno, una herramienta de gestión de políticas para Kubernetes. Esta falla permite a usuarios con permisos restringidos ejecutar acciones con privilegios elevados, comprometiendo potencialmente la seguridad del clúster. La vulnerabilidad se encuentra en el componente github.com/kyverno/kyverno y afecta a versiones anteriores a 1.15.3. Se recomienda aplicar la actualización a la versión 1.15.3 para mitigar el riesgo.
La vulnerabilidad de elevación de privilegios en Kyverno permite a atacantes con acceso limitado a un clúster de Kubernetes, explotar la función apiCall dentro de las políticas para ejecutar acciones que normalmente estarían fuera de su alcance. Esto podría incluir la modificación de configuraciones críticas del clúster, la creación de recursos con permisos elevados o incluso el acceso a datos sensibles. El impacto potencial es significativo, ya que un atacante podría obtener control total sobre el clúster, comprometiendo todas las aplicaciones y datos alojados en él. La naturaleza de Kyverno como herramienta de gestión de políticas amplifica el riesgo, ya que las políticas maliciosas podrían propagarse rápidamente a través del clúster, afectando a múltiples recursos y usuarios.
Actualmente, no se dispone de información pública sobre una explotación activa de CVE-2026-22039. La vulnerabilidad ha sido publicada recientemente (2026-02-02), por lo que es posible que aún no se haya descubierto una prueba de concepto pública. El EPSS score no está disponible, pero dada la severidad (CVSS 9.9) y la naturaleza de la vulnerabilidad, se considera de alta probabilidad de ser explotada si no se mitiga. Se recomienda monitorear activamente las fuentes de inteligencia de amenazas para detectar cualquier indicio de explotación.
Organizations heavily reliant on Kyverno for Kubernetes policy enforcement are at significant risk. This includes those using Kyverno to enforce strict security policies, manage access control, or automate deployments. Shared Kubernetes environments and those with complex policy configurations are particularly vulnerable.
• linux / server:
journalctl -u kyverno -f | grep -i "apiCall"• go / supply-chain:
Inspect Kyverno policy files for instances of apiCall with potentially insecure configurations. Look for policies that allow unrestricted access to Kubernetes API resources.
• generic web:
Monitor Kubernetes API audit logs for unusual patterns of API calls originating from Kyverno pods, particularly those involving resource modifications or privilege escalations.
disclosure
Estado del Exploit
EPSS
0.05% (16% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-22039 es actualizar Kyverno a la versión 1.15.3 o superior. Si la actualización inmediata no es posible, considere implementar políticas restrictivas que limiten el uso de la función apiCall a usuarios y contextos de confianza. Revise cuidadosamente todas las políticas existentes para identificar y eliminar cualquier uso inseguro de apiCall. Además, implemente un sistema de auditoría robusto para monitorear la actividad de Kyverno y detectar cualquier intento de explotación. Después de la actualización, confirme la mitigación revisando los logs de Kyverno en busca de errores relacionados con la función apiCall y verificando que las políticas se apliquen correctamente.
Actualice Kyverno a la versión 1.16.3 o superior. Esto corrige la vulnerabilidad de escalada de privilegios entre namespaces. La actualización se puede realizar mediante la aplicación de los manifests actualizados o utilizando el gestor de paquetes de Kubernetes.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-22039 es una vulnerabilidad de elevación de privilegios en Kyverno que permite a usuarios con permisos limitados ejecutar acciones con privilegios elevados en clústeres de Kubernetes.
Si está utilizando una versión de Kyverno anterior a 1.15.3, es vulnerable a esta vulnerabilidad. Revise su versión actual de Kyverno y aplique la actualización si es necesario.
La solución es actualizar Kyverno a la versión 1.15.3 o superior. Si la actualización no es posible de inmediato, implemente políticas restrictivas que limiten el uso de la función apiCall.
Actualmente no hay evidencia de explotación activa, pero dada la severidad de la vulnerabilidad, se recomienda tomar medidas preventivas.
Consulte el sitio web oficial de Kyverno o su canal de comunicación de seguridad para obtener la información más reciente sobre esta vulnerabilidad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.