Plataforma
go
Componente
github.com/kyverno/kyverno
Corrigido em
1.15.4
1.16.1
1.15.3
1.15.3
A vulnerabilidade CVE-2026-22039 representa um escalonamento de privilégios crítico em Kyverno, uma ferramenta de política Kubernetes. Essa falha permite que um atacante eleve seus privilégios entre namespaces, potencialmente comprometendo a segurança de todo o cluster. Versões do Kyverno anteriores à 1.15.3 são afetadas. A atualização para a versão 1.15.3 é a correção recomendada.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante com permissões limitadas em um namespace obtenha acesso não autorizado a outros namespaces dentro do mesmo cluster Kubernetes. Isso pode levar ao roubo de dados confidenciais, modificação de configurações críticas, ou até mesmo ao controle total do cluster. O impacto é amplificado em ambientes multi-tenant, onde diferentes equipes ou aplicações compartilham o mesmo cluster. A vulnerabilidade reside na função apiCall dentro das políticas do Kyverno, permitindo a manipulação indevida de chamadas de API e a contornação das restrições de acesso.
A vulnerabilidade foi divulgada em 2026-02-02. Não há informações disponíveis sobre exploração ativa ou campanhas direcionadas. A pontuação CVSS de 9.9 indica um alto risco de exploração. Não está listada no KEV (CISA Known Exploited Vulnerabilities) no momento da redação, mas a gravidade da vulnerabilidade sugere que pode ser adicionada no futuro. A existência de um exploit público é desconhecida.
Organizations heavily reliant on Kyverno for Kubernetes policy enforcement are at significant risk. This includes those using Kyverno to enforce strict security policies, manage access control, or automate deployments. Shared Kubernetes environments and those with complex policy configurations are particularly vulnerable.
• linux / server:
journalctl -u kyverno -f | grep -i "apiCall"• go / supply-chain:
Inspect Kyverno policy files for instances of apiCall with potentially insecure configurations. Look for policies that allow unrestricted access to Kubernetes API resources.
• generic web:
Monitor Kubernetes API audit logs for unusual patterns of API calls originating from Kyverno pods, particularly those involving resource modifications or privilege escalations.
disclosure
Status do Exploit
EPSS
0.05% (percentil 16%)
CISA SSVC
Vetor CVSS
A mitigação primária é a atualização imediata para a versão 1.15.3 do Kyverno ou superior. Se a atualização imediata não for possível, considere restringir o uso da função apiCall em políticas do Kyverno, limitando o escopo das chamadas de API permitidas. Implemente políticas de rede para isolar namespaces e restringir a comunicação entre eles. Monitore logs do Kyverno em busca de atividades suspeitas relacionadas a chamadas de API não autorizadas. Após a atualização, confirme a correção verificando a versão do Kyverno com kyverno version e inspecionando os logs em busca de erros relacionados à vulnerabilidade.
Atualize o Kyverno para a versão 1.16.3 ou superior. Isso corrige a vulnerabilidade de escalada de privilégios entre namespaces. A atualização pode ser realizada aplicando os manifests atualizados ou utilizando o gerenciador de pacotes do Kubernetes.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-22039 is a CRITICAL vulnerability in Kyverno allowing attackers to bypass security controls and gain elevated privileges across namespaces. It affects versions 1.15.0 through 1.15.2.
If you are running Kyverno versions 1.15.0, 1.15.1, or 1.15.2, you are vulnerable. Upgrade to 1.15.3 or later to mitigate the risk.
Upgrade Kyverno to version 1.15.3 or later. If immediate upgrade is not possible, implement stricter network policies and review existing policies.
While no active exploitation has been confirmed, the CRITICAL severity and ease of potential exploitation suggest a high risk of future attacks.
Refer to the Kyverno project's official security advisories and release notes for detailed information and updates: [https://kyverno.io/](https://kyverno.io/)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.