Plataforma
go
Componente
github.com/openkruise/kruise
Corregido en
1.8.1
1.7.6
1.8.3
1.7.5
Se ha identificado una vulnerabilidad de SSRF (Server-Side Request Forgery) en el componente PodProbeMarker de OpenKruise, específicamente en el campo 'Host' sin restricciones. Esta vulnerabilidad permite a un atacante realizar solicitudes a recursos internos dentro del clúster, potencialmente exponiendo información sensible o permitiendo el acceso a servicios no intencionados. La vulnerabilidad afecta a versiones anteriores a 1.7.5 y se recomienda actualizar a la versión corregida.
La vulnerabilidad de SSRF en OpenKruise PodProbeMarker permite a un atacante, mediante la manipulación del campo 'Host' en la configuración de PodProbeMarker, realizar solicitudes HTTP arbitrarias al interior del clúster Kubernetes. Esto puede resultar en la exposición de información confidencial almacenada en servicios internos, como bases de datos o APIs de administración. Un atacante podría, por ejemplo, acceder a metadatos de otros pods, leer archivos de configuración sensibles o incluso interactuar con servicios internos que no deberían ser accesibles desde el exterior. El impacto potencial es moderado, ya que requiere acceso al clúster y la capacidad de modificar la configuración de PodProbeMarker, pero la exposición de información interna puede tener consecuencias significativas.
Esta vulnerabilidad fue publicada el 2026-02-27. No se ha reportado su inclusión en el KEV de CISA. No se conocen públicamente pruebas de concepto (PoCs) activas, pero la naturaleza de SSRF implica que la explotación es relativamente sencilla una vez identificada la vulnerabilidad. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles campañas de explotación.
Estado del Exploit
EPSS
0.04% (12% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar OpenKruise a la versión 1.7.5 o superior, que incluye la corrección. Si la actualización inmediata no es posible, se recomienda implementar validación estricta del campo 'Host' en la configuración de PodProbeMarker. Esto puede lograrse mediante políticas de red de Kubernetes (Network Policies) que restrinjan el acceso a servicios internos o mediante la implementación de un proxy inverso que filtre las solicitudes entrantes. Además, se recomienda revisar y auditar las configuraciones existentes de PodProbeMarker para identificar posibles configuraciones vulnerables. Después de la actualización o la implementación de las medidas de mitigación, verifique que el campo 'Host' esté correctamente validado y que las solicitudes internas se realizan de forma segura.
Actualice OpenKruise a la versión 1.8.3 o superior, o a la versión 1.7.5 o superior, para corregir la vulnerabilidad SSRF en PodProbeMarker. Esto evitará que atacantes con permisos de creación de PodProbeMarker ejecuten SSRF desde el nodo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-24005 is a Server-Side Request Forgery (SSRF) vulnerability in the PodProbeMarker component of OpenKruise, allowing attackers to initiate outbound requests. It affects versions before 1.7.5 and has a CVSS score of 2.5 (LOW).
You are affected if you are running OpenKruise versions prior to 1.7.5 and are using the PodProbeMarker component. Check your version and upgrade if necessary.
Upgrade OpenKruise to version 1.7.5 or later. As a temporary workaround, implement network policies to restrict outbound traffic from PodProbeMarker pods.
As of now, there are no public reports of active exploitation campaigns targeting CVE-2026-24005, but continuous monitoring is recommended.
Refer to the OpenKruise project's official security advisories and release notes for detailed information and updates regarding CVE-2026-24005: [https://github.com/openkruise/kruise/security/advisories](https://github.com/openkruise/kruise/security/advisories)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.