Kyverno में CEL http.Get/http.Post के माध्यम से SSRF है, जो NamespacedValidatingPolicy में क्रॉस-नेमस्पेस डेटा एक्सेस की अनुमति देता है

यह SSRF भेद्यता Kyverno के भीतर गंभीर सुरक्षा जोखिम पैदा करती है। हमलावर आंतरिक सेवाओं तक पहुंच प्राप्त कर सकते हैं जो सामान्य रूप से बाहरी दुनिया के लिए दुर्गम हैं, जैसे कि डेटाबेस, प्रबंधन इंटरफेस, या अन्य संवेदनशील एप्लिकेशन। वे क्लाउड मेटाडेटा एंडपॉइंट (जैसे 169.254.169.254) से जानकारी भी निकाल सकते हैं, जिसमें क्रेडेंशियल्स या अन्य गोपनीय डेटा शामिल हो सकते हैं। इसके अतिरिक्त, हमलावर नीति त्रुटि संदेशों के माध्यम से डेटा को बाहर निकाल सकते हैं, जिससे संवेदनशील जानकारी का खुलासा हो सकता है। इस भेद्यता का शोषण करने के लिए, हमलावर को केवल namespace-scoped नीति निर्माण की अनुमति की आवश्यकता होती है, जो इसे व्यापक रूप से शोषण योग्य बनाता है। यह भेद्यता Log4Shell जैसे SSRF शोषण पैटर्न के समान है, जहां आंतरिक संसाधनों तक अनधिकृत पहुंच प्राप्त करने के लिए HTTP अनुरोधों का उपयोग किया जाता है।

Organizations using Kyverno for policy enforcement in Kubernetes clusters are at risk, particularly those running versions 1.16.0 and above. Environments with extensive internal services and cloud integrations are especially vulnerable, as the SSRF vulnerability can be used to access sensitive data and credentials. Shared Kubernetes clusters with multiple namespaces and varying permission levels also increase the risk.

• linux / server:

journalctl -u kyverno -g 'http.Get' | grep -i '169.254.169.254'

• linux / server:

ps aux | grep kyverno | grep 'http.Get' 

• generic web:

curl -I <kyverno_admission_controller_endpoint> | grep 'Server: kyverno'

1. 2026-04-14Disclosure

   disclosure

1. आरक्षित2026-03-24
2. प्रकाशित2026-04-14
3. EPSS अद्यतन2026-04-07

CVE-2026-4789 के लिए प्राथमिक शमन उपाय Kyverno को संस्करण 1.17.0 या बाद के संस्करण में अपग्रेड करना है, जिसमें भेद्यता को ठीक किया गया है। यदि अपग्रेड तत्काल संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप Kyverno नीतियों में HTTP अनुरोधों को प्रतिबंधित करने के लिए सख्त नियमों को लागू कर सकते हैं। यह उन डोमेन या IP पतों को सीमित करके किया जा सकता है जिनसे Kyverno अनुरोध कर सकता है। इसके अतिरिक्त, आप वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके HTTP अनुरोधों को फ़िल्टर कर सकते हैं जो आंतरिक सेवाओं या क्लाउड मेटाडेटा एंडपॉइंट को लक्षित करते हैं। Kyverno नीतियों में इनपुट सत्यापन को मजबूत करना भी महत्वपूर्ण है ताकि यह सुनिश्चित किया जा सके कि उपयोगकर्ता द्वारा प्रदान किए गए डेटा का उपयोग दुर्भावनापूर्ण अनुरोधों को बनाने के लिए नहीं किया जा सकता है। अपग्रेड के बाद, यह सत्यापित करें कि नीति इंजन ठीक से काम कर रहा है और कोई अनधिकृत अनुरोध नहीं किया जा रहा है।