Plateforme
go
Composant
github.com/kyverno/kyverno
Corrigé dans
1.16.1
1.17.2
1.17.0
Une vulnérabilité de type Server-Side Request Forgery (SSRF) a été découverte dans la bibliothèque HTTP CEL de Kyverno (pkg/cel/libs/http/). Cette faille permet aux utilisateurs disposant des permissions de création de politiques à l'échelle de l'espace de noms d'effectuer des requêtes HTTP arbitraires à partir du contrôleur d'admission Kyverno. Les versions affectées sont Kyverno >= 1.16.0, avec les CRDs policies.kyverno.io activés (configuration par défaut). La correction est disponible dans la version 1.17.0.
L'exploitation réussie de cette vulnérabilité SSRF permet à un attaquant d'effectuer des requêtes HTTP arbitraires en tant que Kyverno admission controller. Cela peut conduire à un accès non autorisé à des services internes situés dans d'autres espaces de noms, à la récupération d'informations sensibles à partir de points de terminaison de métadonnées cloud (comme 169.254.169.254), et à l'exfiltration de données via les messages d'erreur générés par les politiques Kyverno. L'attaquant pourrait potentiellement compromettre des données sensibles stockées dans des services internes ou accéder à des informations d'identification stockées dans des configurations mal sécurisées. Le rayon d'impact est significatif, car il affecte tous les espaces de noms où Kyverno est déployé et où les permissions de création de politiques sont accordées.
Cette vulnérabilité a été rendue publique le 2026-04-14. Il n'y a pas d'indication d'une exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la facilité d'exploitation de la vulnérabilité SSRF et de la popularité de Kyverno. Il n'est pas listé sur le KEV (Known Exploited Vulnerabilities) de CISA au moment de la rédaction.
Organizations using Kyverno for policy enforcement in Kubernetes clusters are at risk, particularly those running versions 1.16.0 and above. Environments with extensive internal services and cloud integrations are especially vulnerable, as the SSRF vulnerability can be used to access sensitive data and credentials. Shared Kubernetes clusters with multiple namespaces and varying permission levels also increase the risk.
• linux / server:
journalctl -u kyverno -g 'http.Get' | grep -i '169.254.169.254'• linux / server:
ps aux | grep kyverno | grep 'http.Get' • generic web:
curl -I <kyverno_admission_controller_endpoint> | grep 'Server: kyverno'disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
Vecteur CVSS
La mitigation principale consiste à mettre à niveau Kyverno vers la version 1.17.0 ou supérieure, qui corrige cette vulnérabilité. Si la mise à niveau n'est pas immédiatement possible, envisagez de restreindre les permissions de création de politiques aux utilisateurs strictement nécessaires. En attendant la mise à niveau, il est possible de configurer un proxy inverse ou un WAF (Web Application Firewall) pour bloquer les requêtes HTTP sortantes vers des destinations non autorisées. Surveillez attentivement les journaux d'accès de Kyverno pour détecter des requêtes HTTP suspectes vers des adresses IP ou des domaines inconnus. Après la mise à niveau, vérifiez que la vulnérabilité est bien corrigée en tentant une requête HTTP vers un point de terminaison interne et en confirmant que la requête est bloquée ou redirigée.
Mettez à jour Kyverno vers une version supérieure à la 1.16.0 pour atténuer la vulnérabilité SSRF. Cela empêchera l'utilisation non restreinte des fonctions HTTP CEL et protégera contre les attaques SSRF potentielles.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-4789 is a HIGH severity Server-Side Request Forgery (SSRF) vulnerability affecting Kyverno versions 1.16.0 and later. It allows unauthorized access to internal services and cloud metadata.
You are affected if you are running Kyverno version 1.16.0 or later and have not upgraded to version 1.17.0 or a later version. Ensure your Kyverno CRDs are enabled, as this is the default configuration.
Upgrade Kyverno to version 1.17.0 or later. As a temporary workaround, restrict network access and implement strict network policies.
There is currently no evidence of active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the official Kyverno security advisory for detailed information and updates: [https://kyverno.io/security/advisories/kyverno-sa-001/](https://kyverno.io/security/advisories/kyverno-sa-001/)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.