Platform
go
Component
github.com/kyverno/kyverno
Opgelost in
1.15.4
1.16.1
1.15.3
1.15.3
CVE-2026-22039 beschrijft een Privilege Escalation kwetsbaarheid in Kyverno, een Kubernetes policy engine. Deze kwetsbaarheid stelt aanvallers in staat om ongeautoriseerde acties uit te voeren door middel van de apiCall functie binnen Kyverno policies, waardoor privileges kunnen worden verhoogd tussen verschillende Kubernetes namespaces. De kwetsbaarheid is verholpen in versie 1.15.3. Het is essentieel om zo snel mogelijk te upgraden om de risico's te minimaliseren.
Deze Privilege Escalation kwetsbaarheid in Kyverno kan verstrekkende gevolgen hebben voor Kubernetes clusters. Een succesvolle exploitatie stelt een aanvaller in staat om de beveiligingsgrenzen tussen namespaces te omzeilen. Dit betekent dat een aanvaller die toegang heeft tot een namespace met beperkte privileges, mogelijk de controle kan overnemen van andere namespaces met hogere privileges, inclusief de administratieve namespace. De impact kan variëren van data-exfiltratie en configuratiewijzigingen tot volledige clustercompromittering. Het misbruik van deze kwetsbaarheid kan leiden tot een aanzienlijke verstoring van de dienstverlening en reputatieschade.
CVE-2026-22039 werd publiek bekendgemaakt op 2 februari 2026. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de kritieke ernst van de kwetsbaarheid en de potentiële impact suggereren een hoog risico. Het is waarschijnlijk dat onderzoekers en aanvallers actief bezig zijn met het ontwikkelen van exploits. Het is aan te raden om de situatie nauwlettend te volgen en de KEV catalogus van CISA te raadplegen voor updates.
Organizations heavily reliant on Kyverno for Kubernetes policy enforcement are at significant risk. This includes those using Kyverno to enforce strict security policies, manage access control, or automate deployments. Shared Kubernetes environments and those with complex policy configurations are particularly vulnerable.
• linux / server:
journalctl -u kyverno -f | grep -i "apiCall"• go / supply-chain:
Inspect Kyverno policy files for instances of apiCall with potentially insecure configurations. Look for policies that allow unrestricted access to Kubernetes API resources.
• generic web:
Monitor Kubernetes API audit logs for unusual patterns of API calls originating from Kyverno pods, particularly those involving resource modifications or privilege escalations.
disclosure
Exploit Status
EPSS
0.05% (16% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-22039 is het upgraden van Kyverno naar versie 1.15.3 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de apiCall functie in policies. Dit kan worden bereikt door de scope van de policies te beperken of door strikte toegangscontroles te implementeren. Controleer de Kyverno policies op potentieel misbruikbare apiCall configuraties. Na de upgrade, verifieer de correcte werking van de policies en controleer de Kyverno logs op verdachte activiteiten.
Werk Kyverno bij naar versie 1.16.3 of hoger. Dit corrigeert de cross-namespace privilege escalatie kwetsbaarheid. De update kan worden uitgevoerd door de bijgewerkte manifests toe te passen of door de Kubernetes package manager te gebruiken.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-22039 is a CRITICAL vulnerability in Kyverno allowing attackers to bypass security controls and gain elevated privileges across namespaces. It affects versions 1.15.0 through 1.15.2.
If you are running Kyverno versions 1.15.0, 1.15.1, or 1.15.2, you are vulnerable. Upgrade to 1.15.3 or later to mitigate the risk.
Upgrade Kyverno to version 1.15.3 or later. If immediate upgrade is not possible, implement stricter network policies and review existing policies.
While no active exploitation has been confirmed, the CRITICAL severity and ease of potential exploitation suggest a high risk of future attacks.
Refer to the Kyverno project's official security advisories and release notes for detailed information and updates: [https://kyverno.io/](https://kyverno.io/)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.