CRITICAL🇬🇧 English

CVE-2026-32613

Spinnaker Echo: nieograniczony dostęp SPeL umożliwia RCE

CVSS 9.9v3.1pub. 2026-04-20upd. 2026-04-23

W komponencie Echo platformy Spinnaker przetwarzanie wyrażeń SPeL (Spring Expression Language) odbywało się bez restrykcji dotyczących dozwolonych klas JVM, co umożliwiało uwierzytelnionemu użytkownikowi wykonanie dowolnego kodu na serwerze. Podatność jest krytyczna ze względu na pełny dostęp do systemu operacyjnego, plików i procesów.

Pokaż oryginał (EN)

Spinnaker is an open source, multi-cloud continuous delivery platform. Echo like some other services, uses SPeL (Spring Expression Language) to process information - specifically around expected artifacts. In versions prior to 2026.1.0, 2026.0.1, 2025.4.2, and 2025.3.2, unlike orca, it was NOT restricting that context to a set of trusted classes, but allowing FULL JVM access. This enabled a user to use arbitrary java classes which allow deep access to the system. This enabled the ability to invoke commands, access files, etc. Versions 2026.1.0, 2026.0.1, 2025.4.2, and 2025.3.2 contain a patch. As a workaround, disable echo entirely.

🤖 Analiza AI
Jak działa

Komponent Echo używa SPeL do przetwarzania informacji o oczekiwanych artefaktach. W przeciwieństwie do komponentu Orca, Echo nie ograniczał kontekstu ewaluacji wyrażeń do zaufanego zestawu klas — atakujący miał dostęp do pełnego środowiska JVM. Uwierzytelniony użytkownik mógł w spreparowanym wyrażeniu SPeL wywołać dowolne klasy Javy, co pozwalało na uruchamianie poleceń systemowych, odczyt i zapis plików oraz inne operacje na poziomie systemu operacyjnego.

Skutki

Atakujący z uprawnieniami zwykłego użytkownika może zdalnie wykonać dowolny kod (RCE) na serwerze hostującym Spinnaker, uzyskując pełny dostęp do systemu plików, procesów i zasobów sieciowych, co może prowadzić do całkowitego przejęcia środowiska ciągłego dostarczania.

Mitygacja

Należy zaktualizować Spinnaker do wersji 2026.1.0, 2026.0.1, 2025.4.2 lub 2025.3.2, które zawierają odpowiednie poprawki. Jako obejście (workaround) możliwe jest całkowite wyłączenie komponentu Echo, co eliminuje wektor ataku kosztem utraty związanej z nim funkcjonalności.

Kogo dotyczy

Spinnaker (Linux Foundation) we wszystkich wersjach wcześniejszych niż 2026.1.0, 2026.0.1, 2025.4.2 oraz 2025.3.2

Uwagi

W referencjach wymieniono publiczny wpis blogowy serwisu ZeroPath dotyczący tego CVE (https://zeropath.com/blog/spinnaker-rce-production-compromise), co sugeruje istnienie publicznej analizy technicznej podatności. Zaleca się pilną weryfikację ekspozycji środowisk Spinnaker na dostęp sieciowy.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Linuxfoundation Spinnaker

    APP
    Linuxfoundation
    < 2025.3.22025.4.0 – 2025.4.2 (bez)2026.0.0 – 2026.0.1 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-32604CRITICAL9.9PL ✓ten sam produkt

RCE w Spinnaker — wykonanie dowolnych poleceń na podach clouddriver

CVE-2021-43832CRITICAL10.0ten sam produkt

Spinnaker is an open source, multi-cloud continuous delivery platform. Spinnaker has improper permissions allo...

CVE-2025-61916HIGH7.9ten sam produkt

Spinnaker is an open source, multi-cloud continuous delivery platform. Versions prior to 2025.1.6, 2025.2.3, a...

CVE-2020-9301HIGH8.8ten sam produkt

Nolan Ray from Apple Information Security identified a security vulnerability in Spinnaker, all versions prior...

CVE-2023-39348MEDIUM4.0ten sam produkt

Spinnaker is an open source, multi-cloud continuous delivery platform. Log output when updating GitHub status ...