Plateforme
java
Composant
io.spinnaker.clouddriver:clouddriver-artifacts
Corrigé dans
2025.2.5
2025.3.1
2025.4.1
2025.2.5
2025.3.1
2025.4.1
2025.2.4
La vulnérabilité CVE-2026-25534 affecte la bibliothèque io.spinnaker.clouddriver:clouddriver-artifacts de Spinnaker. Elle permet une exécution de code à distance (RCE) en raison d'une validation incorrecte des URL. Cette faille contourne une vulnérabilité précédente (CVE-2025-61916) et impacte à la fois les artefacts et Orca. Les versions affectées sont celles inférieures ou égales à main-99, et la correction est disponible à partir de la version 2025.2.4.
Un attaquant peut exploiter cette vulnérabilité en fournissant une URL malformée à Spinnaker, contenant des caractères soulignés qui ne sont pas correctement gérés par l'objet Java URL. Cette manipulation permet de contourner les mécanismes de validation prévus et d'injecter du code malveillant. L'exécution de ce code peut permettre à l'attaquant de prendre le contrôle du système sur lequel Spinnaker est en cours d'exécution, d'accéder à des données sensibles, de modifier des configurations et de se déplacer latéralement au sein du réseau. La vulnérabilité affecte à la fois la gestion des artefacts et le traitement des expressions fromUrl dans Orca, augmentant ainsi la surface d'attaque.
La vulnérabilité CVE-2026-25534 a été rendue publique le 16 mars 2026. Il n'y a pas d'indication d'une exploitation active à ce jour, mais la nature critique de la vulnérabilité et sa capacité à contourner une vulnérabilité précédente (CVE-2025-61916) la rendent potentiellement attrayante pour les attaquants. La présence de POCs publics est inconnue à ce jour. Il est recommandé de surveiller les sources d'information sur les menaces pour détecter toute activité malveillante.
Organizations heavily reliant on Spinnaker for continuous delivery pipelines are at significant risk. Specifically, those using older versions of Spinnaker (≤main-99) and those with custom fromUrl expressions in Orca are particularly vulnerable. Shared hosting environments utilizing Spinnaker also face increased risk due to potential cross-tenant exploitation.
• linux / server:
journalctl -u spinnaker-clouddriver -g 'URL validation' | grep -i underscore• generic web:
curl -I <spinnaker_url>/artifacts/ | grep 'Content-Type:'• generic web:
grep -i 'underscore' /var/log/nginx/access.logdisclosure
Statut de l'Exploit
EPSS
0.05% (percentile 14%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Spinnaker vers une version corrigée (2025.2.4 ou ultérieure). Si la mise à jour n'est pas immédiatement possible, il est recommandé d'examiner attentivement les URL fournies par les utilisateurs et de les valider rigoureusement avant de les utiliser dans Spinnaker. Bien qu'il n'existe pas de règles WAF spécifiques pour cette vulnérabilité, une analyse approfondie du trafic réseau peut aider à identifier les tentatives d'exploitation. Il est également conseillé de surveiller les journaux d'accès et d'erreurs de Spinnaker pour détecter toute activité suspecte. Après la mise à jour, vérifiez la correction en testant l'URL malformée et en confirmant qu'elle est correctement bloquée.
Mettez à jour Spinnaker clouddriver et orca aux versions 2025.4.1, 2025.3.1, 2025.2.4 ou 2026.0.0, ou supérieure. Alternativement, désactivez les artefacts affectés sur le système.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-25534 is a critical vulnerability in Spinnaker Clouddriver Artifacts allowing attackers to bypass URL validation due to improper handling of underscores. This can lead to potential code execution.
Yes, if you are using Spinnaker Clouddriver Artifacts versions prior to 2025.2.4 (≤main-99), you are affected by this vulnerability.
Upgrade Spinnaker Clouddriver Artifacts to version 2025.2.4 or later. Consider WAF rules as a temporary workaround.
While no public exploits are currently known, the vulnerability's nature and connection to a previous CVE suggest a potential for exploitation.
Refer to the Spinnaker project's security advisories on their official website or GitHub repository for the latest information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.