HIGHCVE-2026-4789CVSS 8.5

Kyverno の CEL http.Get/http.Post を介した SSRF により、NamespacedValidatingPolicy で名前空間をまたいだデータアクセスが可能

プラットフォーム

コンポーネント

github.com/kyverno/kyverno

修正版

1.16.1

1.17.2

1.17.0

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-4789は、Kyverno Policy EngineのCEL HTTPライブラリ(pkg/cel/libs/http/)におけるServer-Side Request Forgery (SSRF)脆弱性です。この脆弱性を悪用されると、名前空間スコープのポリシー作成権限を持つユーザーが、Kyvernoのadmission controllerから任意のHTTPリクエストを送信できるようになります。影響を受けるバージョンはKyverno 1.16.0以降です。1.17.0へのアップグレードで修正されています。

影響と攻撃シナリオ

このSSRF脆弱性は、攻撃者がKyverno admission controllerを介して内部サービスへの不正アクセスを試みることを可能にします。具体的には、他の名前空間内のサービスへのアクセス、クラウドメタデータエンドポイント（169.254.169.254）へのアクセス、そしてポリシーエラーメッセージを介したデータ漏洩のリスクがあります。攻撃者は、内部ネットワーク内の機密情報にアクセスしたり、さらなる攻撃の足がかりとして利用したりする可能性があります。この脆弱性は、Log4ShellのようなSSRF攻撃と同様のパターンで悪用される可能性があります。

悪用の状況

このCVEは2026年4月14日に公開されました。現時点では、KEVに登録されていません。公開されているPoCは確認されていませんが、SSRF脆弱性であるため、攻撃者による悪用が懸念されます。NVDおよびCISAの情報を定期的に確認し、最新の脅威情報に注意を払う必要があります。

リスク対象者翻訳中…

Organizations using Kyverno for policy enforcement in Kubernetes clusters are at risk, particularly those running versions 1.16.0 and above. Environments with extensive internal services and cloud integrations are especially vulnerable, as the SSRF vulnerability can be used to access sensitive data and credentials. Shared Kubernetes clusters with multiple namespaces and varying permission levels also increase the risk.

検出手順翻訳中…

• linux / server:

journalctl -u kyverno -g 'http.Get' | grep -i '169.254.169.254'

• linux / server:

ps aux | grep kyverno | grep 'http.Get'

• generic web:

curl -I <kyverno_admission_controller_endpoint> | grep 'Server: kyverno'

攻撃タイムライン

2026-04-14Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.02% (5% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントgithub.com/kyverno/kyverno

ベンダーosv

影響範囲修正版

1.16.0 – 1.16.01.16.1

1.16.0 – 1.17.11.17.2

1.16.01.17.0

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2026-03-24
公開日2026-04-14
EPSS 更新日2026-04-07

緩和策と回避策

この脆弱性への最も効果的な対策は、Kyvernoをバージョン1.17.0以降にアップグレードすることです。アップグレードが一時的に利用できない場合は、WAFやリバースプロキシを使用して、Kyverno admission controllerからの外部へのHTTPリクエストを制限することを検討してください。また、ポリシーの作成権限を厳格に管理し、最小限の権限でポリシーを作成するように設定することも重要です。アップグレード後、kyverno policy apply -n <namespace>コマンドを実行し、ポリシーが正常に適用されていることを確認してください。

修正方法

SSRF の脆弱性を軽減するために、Kyverno を 1.16.0 より後のバージョンにアップデートしてください。これにより、CEL HTTP 関数の制限のない使用が防止され、潜在的な SSRF 攻撃から保護されます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-4789 — SSRF in Kyverno Policy Engineとは何ですか？

CVE-2026-4789は、Kyverno Policy EngineのCEL HTTPライブラリにおけるServer-Side Request Forgery (SSRF)脆弱性です。攻撃者はこの脆弱性を悪用して、内部サービスへの不正アクセスやデータ漏洩を試みる可能性があります。

CVE-2026-4789 in Kyverno Policy Engineの影響はありますか？

はい、Kyverno 1.16.0以降（デフォルト設定）が影響を受けます。内部ネットワークへの不正アクセスやデータ漏洩のリスクがあります。

CVE-2026-4789 in Kyverno Policy Engineを修正するにはどうすればよいですか？

Kyvernoをバージョン1.17.0以降にアップグレードしてください。アップグレードが難しい場合は、WAFやリバースプロキシを使用して外部へのHTTPリクエストを制限することを検討してください。

CVE-2026-4789は積極的に悪用されていますか？

現時点では、PoCは確認されていませんが、SSRF脆弱性であるため、攻撃者による悪用が懸念されます。

CVE-2026-4789に関する公式のKyvernoアドバイザリはどこで入手できますか？

公式アドバイザリは、KyvernoのリリースノートまたはGitHubリポジトリで確認できます。