Plataforma
go
Componente
github.com/kyverno/kyverno
Corrigido em
1.16.1
1.17.2
1.17.0
Uma vulnerabilidade de Server-Side Request Forgery (SSRF) foi descoberta na biblioteca CEL HTTP do Kyverno (pkg/cel/libs/http/). Esta falha permite que usuários com permissões para criar políticas no escopo do namespace façam requisições HTTP arbitrárias a partir do admission controller do Kyverno. Versões afetadas incluem Kyverno >= 1.16.0, com os CRDs policies.kyverno.io habilitados (configuração padrão). A correção está disponível na versão 1.17.0.
A exploração bem-sucedida desta vulnerabilidade SSRF pode permitir que um atacante acesse recursos internos protegidos, como serviços em outros namespaces, endpoints de metadados da nuvem (como 169.254.169.254) e até mesmo exfiltrar dados sensíveis através de mensagens de erro de políticas. Um atacante poderia, por exemplo, ler informações de configuração de outros serviços dentro do cluster Kubernetes, ou obter credenciais armazenadas em serviços internos. A capacidade de fazer requisições arbitrárias torna esta vulnerabilidade particularmente perigosa, pois permite a um atacante contornar controles de segurança e potencialmente comprometer a infraestrutura subjacente.
A vulnerabilidade foi divulgada em 2026-04-14. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A existência de uma SSRF, combinada com a capacidade de criar políticas no escopo do namespace, apresenta um risco significativo, especialmente em ambientes Kubernetes complexos.
Organizations using Kyverno for policy enforcement in Kubernetes clusters are at risk, particularly those running versions 1.16.0 and above. Environments with extensive internal services and cloud integrations are especially vulnerable, as the SSRF vulnerability can be used to access sensitive data and credentials. Shared Kubernetes clusters with multiple namespaces and varying permission levels also increase the risk.
• linux / server:
journalctl -u kyverno -g 'http.Get' | grep -i '169.254.169.254'• linux / server:
ps aux | grep kyverno | grep 'http.Get' • generic web:
curl -I <kyverno_admission_controller_endpoint> | grep 'Server: kyverno'disclosure
Status do Exploit
EPSS
0.02% (percentil 5%)
Vetor CVSS
A mitigação primária é atualizar para a versão 1.17.0 do Kyverno, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar workarounds como restringir o acesso de rede do Kyverno a recursos externos, utilizando políticas de rede para isolar o Kyverno de outros serviços sensíveis. Implementar regras de WAF (Web Application Firewall) para bloquear requisições HTTP suspeitas originadas do Kyverno também pode ajudar a mitigar o risco. Após a atualização, verifique se a vulnerabilidade foi corrigida executando testes de penetração ou utilizando ferramentas de análise de segurança.
Atualize Kyverno para uma versão posterior à 1.16.0 para mitigar a vulnerabilidade SSRF. Isso evitará o uso irrestrito de funções HTTP CEL e protegerá contra possíveis ataques SSRF.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-4789 is a HIGH severity Server-Side Request Forgery (SSRF) vulnerability affecting Kyverno versions 1.16.0 and later. It allows unauthorized access to internal services and cloud metadata.
You are affected if you are running Kyverno version 1.16.0 or later and have not upgraded to version 1.17.0 or a later version. Ensure your Kyverno CRDs are enabled, as this is the default configuration.
Upgrade Kyverno to version 1.17.0 or later. As a temporary workaround, restrict network access and implement strict network policies.
There is currently no evidence of active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the official Kyverno security advisory for detailed information and updates: [https://kyverno.io/security/advisories/kyverno-sa-001/](https://kyverno.io/security/advisories/kyverno-sa-001/)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.