Plateforme
go
Composant
github.com/kyverno/kyverno
Corrigé dans
1.15.4
1.16.1
1.15.3
1.15.3
La vulnérabilité CVE-2026-22039 représente une élévation de privilèges critique au sein de Kyverno, un moteur de politique Kubernetes. Cette faille, présente dans la fonction apiCall de github.com/kyverno/kyverno, permet à un utilisateur non autorisé d'escalader ses privilèges, compromettant potentiellement la sécurité de l'ensemble du cluster. Les versions de Kyverno antérieures à 1.15.3 sont affectées. Une mise à jour vers la version 1.15.3 est disponible pour corriger cette vulnérabilité.
L'impact de cette vulnérabilité est significatif. Un attaquant exploitant CVE-2026-22039 pourrait contourner les contrôles d'accès et obtenir un contrôle non autorisé sur les ressources Kubernetes. Cela pourrait inclure la modification de configurations, la suppression de données sensibles, ou même la prise de contrôle complète du cluster. La nature cross-namespace de la vulnérabilité amplifie son impact, car elle permet à un attaquant d'escalader ses privilèges dans un espace de noms et de les exploiter dans d'autres espaces de noms, potentiellement affectant des applications et des données critiques. L'absence de contrôles d'accès appropriés pourrait permettre à un attaquant d'injecter des politiques malveillantes, compromettant ainsi l'intégrité de l'environnement Kubernetes.
Cette vulnérabilité a été publiée le 2 février 2026. Son score CVSS de 9.9 indique une criticité élevée. Il n'y a pas d'indication d'une exploitation active à ce jour, ni de PoC publics largement diffusés. La vulnérabilité n'a pas encore été ajoutée au catalogue KEV de CISA. Le risque est considéré comme élevé en raison de la criticité de la vulnérabilité et de son impact potentiel sur la sécurité des clusters Kubernetes.
Organizations heavily reliant on Kyverno for Kubernetes policy enforcement are at significant risk. This includes those using Kyverno to enforce strict security policies, manage access control, or automate deployments. Shared Kubernetes environments and those with complex policy configurations are particularly vulnerable.
• linux / server:
journalctl -u kyverno -f | grep -i "apiCall"• go / supply-chain:
Inspect Kyverno policy files for instances of apiCall with potentially insecure configurations. Look for policies that allow unrestricted access to Kubernetes API resources.
• generic web:
Monitor Kubernetes API audit logs for unusual patterns of API calls originating from Kyverno pods, particularly those involving resource modifications or privilege escalations.
disclosure
Statut de l'Exploit
EPSS
0.05% (percentile 16%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Kyverno vers la version 1.15.3 ou ultérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, envisagez de restreindre l'accès à la fonction apiCall en utilisant des politiques Kyverno pour limiter les actions que les utilisateurs peuvent effectuer. Il est également recommandé de revoir et de renforcer les politiques d'accès Kubernetes existantes pour minimiser le risque d'exploitation. Après la mise à jour, vérifiez que la fonction apiCall est correctement restreinte et que les politiques d'accès sont conformes aux meilleures pratiques de sécurité.
Mettez à jour Kyverno à la version 1.16.3 ou supérieure. Cela corrige la vulnérabilité d'élévation de privilèges inter-namespace. La mise à jour peut être effectuée en appliquant les manifests mis à jour ou en utilisant le gestionnaire de paquets de Kubernetes.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-22039 est une vulnérabilité d'élévation de privilèges critique dans Kyverno, permettant à un attaquant d'escalader ses privilèges via la fonction apiCall.
Vous êtes affecté si vous utilisez Kyverno dans une version antérieure à 1.15.3. Vérifiez votre version actuelle et mettez à jour si nécessaire.
La solution est de mettre à jour Kyverno vers la version 1.15.3 ou ultérieure. Si la mise à jour n'est pas possible immédiatement, restreignez l'accès à la fonction apiCall.
À ce jour, il n'y a aucune indication d'exploitation active de CVE-2026-22039, mais la criticité élevée de la vulnérabilité justifie une action immédiate.
Consultez le site web de Kyverno ou leur page GitHub pour obtenir les informations officielles et les mises à jour concernant CVE-2026-22039.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.