W komponencie Echo platformy Spinnaker przetwarzanie wyrażeń SPeL (Spring Expression Language) odbywało się bez restrykcji dotyczących dozwolonych klas JVM, co umożliwiało uwierzytelnionemu użytkownikowi wykonanie dowolnego kodu na serwerze. Podatność jest krytyczna ze względu na pełny dostęp do systemu operacyjnego, plików i procesów.
▸ Pokaż oryginał (EN)
Spinnaker is an open source, multi-cloud continuous delivery platform. Echo like some other services, uses SPeL (Spring Expression Language) to process information - specifically around expected artifacts. In versions prior to 2026.1.0, 2026.0.1, 2025.4.2, and 2025.3.2, unlike orca, it was NOT restricting that context to a set of trusted classes, but allowing FULL JVM access. This enabled a user to use arbitrary java classes which allow deep access to the system. This enabled the ability to invoke commands, access files, etc. Versions 2026.1.0, 2026.0.1, 2025.4.2, and 2025.3.2 contain a patch. As a workaround, disable echo entirely.
Komponent Echo używa SPeL do przetwarzania informacji o oczekiwanych artefaktach. W przeciwieństwie do komponentu Orca, Echo nie ograniczał kontekstu ewaluacji wyrażeń do zaufanego zestawu klas — atakujący miał dostęp do pełnego środowiska JVM. Uwierzytelniony użytkownik mógł w spreparowanym wyrażeniu SPeL wywołać dowolne klasy Javy, co pozwalało na uruchamianie poleceń systemowych, odczyt i zapis plików oraz inne operacje na poziomie systemu operacyjnego.
Atakujący z uprawnieniami zwykłego użytkownika może zdalnie wykonać dowolny kod (RCE) na serwerze hostującym Spinnaker, uzyskując pełny dostęp do systemu plików, procesów i zasobów sieciowych, co może prowadzić do całkowitego przejęcia środowiska ciągłego dostarczania.
Należy zaktualizować Spinnaker do wersji 2026.1.0, 2026.0.1, 2025.4.2 lub 2025.3.2, które zawierają odpowiednie poprawki. Jako obejście (workaround) możliwe jest całkowite wyłączenie komponentu Echo, co eliminuje wektor ataku kosztem utraty związanej z nim funkcjonalności.
Spinnaker (Linux Foundation) we wszystkich wersjach wcześniejszych niż 2026.1.0, 2026.0.1, 2025.4.2 oraz 2025.3.2
W referencjach wymieniono publiczny wpis blogowy serwisu ZeroPath dotyczący tego CVE (https://zeropath.com/blog/spinnaker-rce-production-compromise), co sugeruje istnienie publicznej analizy technicznej podatności. Zaleca się pilną weryfikację ekspozycji środowisk Spinnaker na dostęp sieciowy.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:HLinuxfoundation Spinnaker
APPLinuxfoundation< 2025.3.22025.4.0 – 2025.4.2 (bez)2026.0.0 – 2026.0.1 (bez)
Powiązane podatności
RCE w Spinnaker — wykonanie dowolnych poleceń na podach clouddriver
Spinnaker is an open source, multi-cloud continuous delivery platform. Spinnaker has improper permissions allo...
Spinnaker is an open source, multi-cloud continuous delivery platform. Versions prior to 2025.1.6, 2025.2.3, a...
Nolan Ray from Apple Information Security identified a security vulnerability in Spinnaker, all versions prior...
Spinnaker is an open source, multi-cloud continuous delivery platform. Log output when updating GitHub status ...