Kyverno has SSRF via CEL http.Get/http.Post in NamespacedValidatingPolicy allows cross-namespace data access

Een succesvolle exploitatie van CVE-2026-4789 kan aanzienlijke gevolgen hebben. Aanvallers kunnen interne services in andere namespaces benaderen, waartoe ze normaal gesproken geen toegang zouden hebben. Dit omvat potentieel gevoelige data die door deze services wordt verwerkt. Bovendien kunnen aanvallers cloud metadata endpoints (zoals 169.254.169.254) benaderen om cloud credentials te stelen of andere gevoelige informatie te verkrijgen. Data-exfiltratie is mogelijk via policy error messages, waardoor de aanvallers data uit het Kubernetes cluster kunnen stelen. De impact is vergelijkbaar met andere SSRF kwetsbaarheden waarbij interne resources blootgesteld worden aan externe aanvallers.

Organizations using Kyverno for policy enforcement in Kubernetes clusters are at risk, particularly those running versions 1.16.0 and above. Environments with extensive internal services and cloud integrations are especially vulnerable, as the SSRF vulnerability can be used to access sensitive data and credentials. Shared Kubernetes clusters with multiple namespaces and varying permission levels also increase the risk.

• linux / server:

journalctl -u kyverno -g 'http.Get' | grep -i '169.254.169.254'

• linux / server:

ps aux | grep kyverno | grep 'http.Get' 

• generic web:

curl -I <kyverno_admission_controller_endpoint> | grep 'Server: kyverno'

1. 2026-04-14Disclosure

   disclosure

1. Gereserveerd2026-03-24
2. Gepubliceerd2026-04-14
3. EPSS bijgewerkt2026-04-07

De primaire mitigatie voor CVE-2026-4789 is het upgraden naar Kyverno versie 1.17.0 of hoger. Als een directe upgrade niet mogelijk is, overweeg dan tijdelijke workarounds. Beperk de permissies van gebruikers die policy's kunnen aanmaken, zodat ze geen HTTP-verzoeken kunnen uitvoeren. Implementeer een Web Application Firewall (WAF) of proxy om HTTP-verzoeken te filteren en te blokkeren die naar ongewenste bestemmingen gaan. Controleer de Kyverno policy configuratie om te zorgen dat er geen onnodige HTTP-verzoeken worden toegestaan. Na de upgrade, verifieer de fix door een policy te creëren die een HTTP-verzoek naar een interne service probeert te versturen en controleer of dit wordt geblokkeerd.