Plataforma
go
Componente
istio
Corrigido em
1.25.1
1.28.1
1.29.1
0.0.0-20260403004500-692e460c342d
CVE-2026-39350 describes a vulnerability in Istio where the serviceAccounts and notServiceAccounts fields within AuthorizationPolicy are incorrectly interpreted. This misinterpretation stems from treating dots (.) as regular expression matchers, allowing attackers to bypass intended access controls. The vulnerability impacts Istio versions 1.25.0 through 1.29.0 (excluding 1.29.2) and is addressed in versions 1.29.2, 1.28.6, and 1.27.9.
A vulnerabilidade CVE-2026-39350 no Istio afeta a forma como as políticas de autorização interpretam pontos (.) em nomes de contas de serviço. Especificamente, os campos serviceAccounts e notServiceAccounts interpretam incorretamente os pontos como um correspondente de expressão regular. Isso significa que uma regra ALLOW em uma AuthorizationPolicy direcionada a uma SA como cert-manager.io também corresponderá a variantes como cert-manager-io ou cert-managerXio. Criticamente, uma regra DENY direcionada ao mesmo nome não bloqueará essas variantes, permitindo acesso não autorizado. Essa vulnerabilidade pode permitir que atacantes contornem políticas de autorização e acessem recursos que deveriam estar protegidos.
Esta vulnerabilidade é explorada aproveitando a interpretação incorreta de pontos em nomes de contas de serviço. Um atacante pode criar uma solicitação que se dirija a uma conta de serviço cujo nome corresponda ao padrão de uma regra ALLOW, mas não ao escopo da política pretendido. Como a regra DENY não bloqueia essas variantes, o atacante pode obter acesso não autorizado. A complexidade da exploração depende da configuração existente das políticas de autorização e da capacidade do atacante de identificar nomes de contas de serviço que correspondam ao padrão vulnerável.
Organizations heavily reliant on Istio for service mesh security and employing complex service account naming conventions are particularly at risk. Environments with granular AuthorizationPolicy configurations, especially those using dots in service account names, should prioritize patching.
• linux / server:
journalctl -u istiod | grep -i "authorizationpolicy" -A 10• generic web:
curl -I <istio-ingress-gateway-url>/authorizationdisclosure
Status do Exploit
EPSS
0.01% (percentil 1%)
CISA SSVC
Vetor CVSS
A solução para esta vulnerabilidade é atualizar para uma versão corrigida do Istio. As versões afetadas são 1.27.x, 1.28.x e 1.29.x. As versões corrigidas são 1.29.2, 1.28.6 e 1.27.9, respectivamente. É fortemente recomendado atualizar para a versão mais recente disponível que seja compatível com seu ambiente. Como não existem soluções alternativas, a atualização é a única maneira de mitigar completamente o risco. Consulte a documentação oficial do Istio para obter instruções detalhadas sobre como atualizar sua instalação.
Actualice Istio a la versión 1.29.2, 1.28.6 o 1.27.9 para mitigar la vulnerabilidad. Esta actualización corrige un error en el manejo de puntos en los campos serviceAccounts de AuthorizationPolicy, previniendo el bypass de políticas de autorización.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
As versões 1.27.x, 1.28.x e 1.29.x são vulneráveis a esta vulnerabilidade.
Não existem soluções alternativas disponíveis. A atualização é a única mitigação. Considere implementar controles de acesso adicionais como medida temporária, mas esteja ciente de que eles não são uma solução completa.
Verifique a versão do Istio que você está usando. Se você estiver usando uma versão 1.27.x, 1.28.x ou 1.29.x, você é vulnerável.
Sim, qualquer cluster do Istio que use as versões afetadas é vulnerável, independentemente de sua configuração.
Consulte o aviso de segurança oficial do Istio e a entrada CVE no site do NIST.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.