Platform
go
Component
istio
Opgelost in
1.25.1
1.28.1
1.29.1
0.0.0-20260403004500-692e460c342d
CVE-2026-39350 describes a vulnerability in Istio where the serviceAccounts and notServiceAccounts fields within AuthorizationPolicy are incorrectly interpreted. This misinterpretation stems from treating dots (.) as regular expression matchers, allowing attackers to bypass intended access controls. The vulnerability impacts Istio versions 1.25.0 through 1.29.0 (excluding 1.29.2) and is addressed in versions 1.29.2, 1.28.6, and 1.27.9.
CVE-2026-39350 in Istio beïnvloedt de manier waarop autorisatierichtlijnen punten (.) in service account-namen interpreteren. Specifiek interpreteren de velden serviceAccounts en notServiceAccounts punten onjuist als een reguliere expressie-matcher. Dit betekent dat een ALLOW-regel in een AuthorizationPolicy die een SA target zoals cert-manager.io ook varianten zal matchen zoals cert-manager-io of cert-managerXio. Cruciaal is dat een DENY-regel die dezelfde naam target deze varianten niet zal blokkeren, waardoor ongeautoriseerde toegang mogelijk wordt. Deze kwetsbaarheid kan aanvallers in staat stellen autorisatierichtlijnen te omzeilen en toegang te krijgen tot resources die beschermd zouden moeten worden.
Deze kwetsbaarheid wordt uitgebuit door misbruik te maken van de onjuiste interpretatie van punten in service account-namen. Een aanvaller kan een request maken die zich richt op een service account-naam die overeenkomt met het patroon van een ALLOW-regel, maar niet met de beoogde richtlijnscope. Aangezien de DENY-regel deze varianten niet blokkeert, kan de aanvaller ongeautoriseerde toegang krijgen. De complexiteit van exploitatie hangt af van de bestaande configuratie van de autorisatierichtlijnen en het vermogen van de aanvaller om service account-namen te identificeren die overeenkomen met het kwetsbare patroon.
Organizations heavily reliant on Istio for service mesh security and employing complex service account naming conventions are particularly at risk. Environments with granular AuthorizationPolicy configurations, especially those using dots in service account names, should prioritize patching.
• linux / server:
journalctl -u istiod | grep -i "authorizationpolicy" -A 10• generic web:
curl -I <istio-ingress-gateway-url>/authorizationdisclosure
Exploit Status
EPSS
0.01% (1% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor deze kwetsbaarheid is om te upgraden naar een gepatchte versie van Istio. Aangetaste versies zijn 1.27.x, 1.28.x en 1.29.x. De gepatchte versies zijn 1.29.2, 1.28.6 en 1.27.9 respectievelijk. Het wordt ten zeerste aanbevolen om te upgraden naar de nieuwste beschikbare versie die compatibel is met uw omgeving. Aangezien er geen workarounds zijn, is upgraden de enige manier om het risico volledig te mitigeren. Raadpleeg de officiële Istio-documentatie voor gedetailleerde instructies over hoe u uw installatie kunt upgraden.
Actualice Istio a la versión 1.29.2, 1.28.6 o 1.27.9 para mitigar la vulnerabilidad. Esta actualización corrige un error en el manejo de puntos en los campos serviceAccounts de AuthorizationPolicy, previniendo el bypass de políticas de autorización.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Versies 1.27.x, 1.28.x en 1.29.x zijn kwetsbaar voor deze kwetsbaarheid.
Er zijn geen workarounds beschikbaar. Upgraden is de enige mitigatie. Overweeg om extra toegangscontroles te implementeren als een tijdelijke maatregel, maar wees je ervan bewust dat dit geen complete oplossing is.
Controleer de versie van Istio die u gebruikt. Als u versie 1.27.x, 1.28.x of 1.29.x gebruikt, bent u kwetsbaar.
Ja, elke Istio-cluster die de aangetaste versies gebruikt, is kwetsbaar, ongeacht de configuratie.
Raadpleeg de officiële Istio-beveiligingsadvies en de CVE-entry op de NIST-website.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.