平台
go
组件
github.com/kyverno/kyverno
修复版本
1.16.1
1.17.2
1.17.0
CVE-2026-4789 是 Kyverno 策略引擎中发现的服务器端请求伪造 (SSRF) 漏洞。该漏洞允许拥有命名空间范围策略创建权限的用户,通过 Kyverno 准入控制器发起任意 HTTP 请求,从而可能导致未经授权的访问内部服务、云元数据端点以及数据泄露。受影响的版本包括 Kyverno 1.16.0 及更高版本(默认启用 policies.kyverno.io CRD)。建议升级至 1.17.0 版本以修复此漏洞。
攻击者可以利用此 SSRF 漏洞访问集群内部的敏感资源,例如云提供商的元数据服务 (例如 169.254.169.254),从而获取云凭证、配置信息等。此外,攻击者还可以通过构造恶意的策略,将请求转发到其他命名空间的服务,实现跨命名空间的数据窃取。由于 Kyverno 准入控制器具有较高的权限,该漏洞的潜在影响范围较大,可能导致整个集群的安全风险。类似于其他 SSRF 漏洞,攻击者可能利用此漏洞进行内部侦察,寻找进一步攻击的目标。
该漏洞已公开披露,且存在潜在的利用风险。目前尚未观察到大规模的利用活动,但由于该漏洞的严重性和易利用性,建议尽快采取缓解措施。该漏洞尚未被添加到 CISA KEV 目录中。公开的 PoC 尚未发现,但由于 SSRF 漏洞的普遍性,预计未来可能会出现。
Organizations using Kyverno for policy enforcement in Kubernetes clusters are at risk, particularly those running versions 1.16.0 and above. Environments with extensive internal services and cloud integrations are especially vulnerable, as the SSRF vulnerability can be used to access sensitive data and credentials. Shared Kubernetes clusters with multiple namespaces and varying permission levels also increase the risk.
• linux / server:
journalctl -u kyverno -g 'http.Get' | grep -i '169.254.169.254'• linux / server:
ps aux | grep kyverno | grep 'http.Get' • generic web:
curl -I <kyverno_admission_controller_endpoint> | grep 'Server: kyverno'disclosure
漏洞利用状态
EPSS
0.02% (5% 百分位)
CVSS 向量
最有效的缓解措施是升级至 Kyverno 1.17.0 或更高版本,该版本修复了此漏洞。如果无法立即升级,可以考虑以下临时缓解措施:限制 Kyverno 策略中 HTTP 请求的来源,只允许访问受信任的域名和 IP 地址。实施网络策略,阻止 Kyverno 准入控制器访问不必要的内部服务和外部网络。监控 Kyverno 日志,查找异常的 HTTP 请求,并及时响应。在升级后,请验证策略是否正常工作,并确认漏洞已成功修复。
将 Kyverno 更新到高于 1.16.0 的版本以缓解 SSRF 漏洞。 这将避免对 HTTP CEL 函数的无限制使用,并防止潜在的 SSRF 攻击。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-4789 是 Kyverno 策略引擎中发现的服务器端请求伪造 (SSRF) 漏洞,允许攻击者发起未经授权的 HTTP 请求。
如果您正在使用 Kyverno 1.16.0 或更高版本,并且默认启用了 policies.kyverno.io CRD,则可能受到影响。
建议升级至 Kyverno 1.17.0 或更高版本以修复此漏洞。
目前尚未观察到大规模的利用活动,但由于漏洞的严重性,建议尽快采取缓解措施。
请查阅 Kyverno 官方安全公告,获取更多信息。
上传你的 go.mod 文件,立即知道是否受影响。