CVE-2026-22039: 特権昇格 in Kyverno

この脆弱性は、攻撃者がKyvernoのポリシー設定を悪用し、他の名前空間のリソースに不正にアクセスしたり、変更したりすることを可能にします。例えば、攻撃者はポリシー内でapiCallを使用して、本来アクセス権限のないリソースに対して操作を実行できる可能性があります。これにより、機密情報の漏洩、システムの改ざん、さらには完全なシステム制御の奪取といった深刻な被害が発生する可能性があります。この脆弱性は、Kubernetes環境におけるセキュリティを著しく損なうリスクを孕んでいます。

Organizations heavily reliant on Kyverno for Kubernetes policy enforcement are at significant risk. This includes those using Kyverno to enforce strict security policies, manage access control, or automate deployments. Shared Kubernetes environments and those with complex policy configurations are particularly vulnerable.

• linux / server:

journalctl -u kyverno -f | grep -i "apiCall"

• go / supply-chain: Inspect Kyverno policy files for instances of apiCall with potentially insecure configurations. Look for policies that allow unrestricted access to Kubernetes API resources. • generic web: Monitor Kubernetes API audit logs for unusual patterns of API calls originating from Kyverno pods, particularly those involving resource modifications or privilege escalations.

1. 2026-02-02Disclosure

   disclosure

1. 予約済み2026-01-05
2. 公開日2026-02-02
3. 更新日2026-02-04
4. EPSS 更新日2026-03-23

この脆弱性への最も効果的な対策は、Kyvernoをバージョン1.15.3以降にアップデートすることです。アップデートが困難な場合は、一時的な緩和策として、ポリシー内でapiCallの使用を制限する、または特定の名前空間へのアクセスを厳密に制御するなどの対策を検討してください。また、WAFやネットワークポリシーを使用して、不正なリクエストをブロックすることも有効です。アップデート後、ポリシーの動作を検証し、意図しない動作がないことを確認してください。