Plataforma
go
Componente
github.com/kyverno/kyverno
Corregido en
1.16.1
1.17.2
1.17.0
Se ha descubierto una vulnerabilidad de Server-Side Request Forgery (SSRF) en Kyverno, una política de admisión para Kubernetes. Esta vulnerabilidad, presente en versiones 1.16.0 y superiores con los CRDs policies.kyverno.io habilitados (configuración predeterminada), permite a usuarios con permisos para crear políticas a nivel de namespace realizar solicitudes HTTP arbitrarias desde el controlador de admisión de Kyverno. Esto puede resultar en acceso no autorizado a servicios internos, a endpoints de metadatos en la nube y exfiltración de datos.
La vulnerabilidad SSRF en Kyverno permite a un atacante, con los permisos necesarios para crear políticas, realizar solicitudes HTTP arbitrarias a través del controlador de admisión. Esto significa que pueden acceder a servicios internos que normalmente no serían accesibles desde fuera del clúster de Kubernetes, como bases de datos, sistemas de gestión de secretos o servicios de monitorización. Además, pueden acceder a endpoints de metadatos en la nube (como 169.254.169.254) para obtener información confidencial sobre la infraestructura. La exfiltración de datos se puede lograr incluyendo la respuesta de la solicitud HTTP en un mensaje de error de la política, que luego puede ser observado por el atacante. El impacto potencial es alto, ya que permite el acceso no autorizado a recursos críticos y la posible fuga de información sensible.
Esta vulnerabilidad se publicó el 14 de abril de 2026. No se ha añadido a la lista KEV de CISA al momento de la redacción. No se conocen públicamente pruebas de concepto (PoCs) activas, pero la naturaleza de la vulnerabilidad SSRF la hace susceptible a la explotación. La probabilidad de explotación se considera media, dado que requiere permisos para crear políticas, pero una vez obtenidos, el impacto puede ser significativo.
Organizations using Kyverno for policy enforcement in Kubernetes clusters are at risk, particularly those running versions 1.16.0 and above. Environments with extensive internal services and cloud integrations are especially vulnerable, as the SSRF vulnerability can be used to access sensitive data and credentials. Shared Kubernetes clusters with multiple namespaces and varying permission levels also increase the risk.
• linux / server:
journalctl -u kyverno -g 'http.Get' | grep -i '169.254.169.254'• linux / server:
ps aux | grep kyverno | grep 'http.Get' • generic web:
curl -I <kyverno_admission_controller_endpoint> | grep 'Server: kyverno'disclosure
Estado del Exploit
EPSS
0.02% (5% percentil)
Vector CVSS
La solución principal es actualizar Kyverno a la versión 1.17.0 o superior, que corrige esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar mitigaciones temporales. Una opción es restringir el acceso a los endpoints de metadatos en la nube mediante reglas de firewall o políticas de red. Otra opción es revisar y auditar las políticas de Kyverno existentes para identificar y eliminar cualquier política que pueda estar siendo utilizada para realizar solicitudes HTTP no autorizadas. Se recomienda monitorear los logs de Kyverno en busca de patrones de tráfico inusuales que puedan indicar un intento de explotación. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta revisando los logs y realizando pruebas de penetración.
Actualice Kyverno a una versión posterior a la 1.16.0 para mitigar la vulnerabilidad SSRF. Esto evitará el uso irrestricto de funciones HTTP CEL y protegerá contra posibles ataques SSRF.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-4789 is a HIGH severity Server-Side Request Forgery (SSRF) vulnerability affecting Kyverno versions 1.16.0 and later. It allows unauthorized access to internal services and cloud metadata.
You are affected if you are running Kyverno version 1.16.0 or later and have not upgraded to version 1.17.0 or a later version. Ensure your Kyverno CRDs are enabled, as this is the default configuration.
Upgrade Kyverno to version 1.17.0 or later. As a temporary workaround, restrict network access and implement strict network policies.
There is currently no evidence of active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the official Kyverno security advisory for detailed information and updates: [https://kyverno.io/security/advisories/kyverno-sa-001/](https://kyverno.io/security/advisories/kyverno-sa-001/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.