CRITICAL🇬🇧 English

CVE-2026-50545

Fission: brak walidacji podSpec umożliwia eskalację uprawnień w Kubernetes

CVSS 9.9v3.1pub. 2026-06-10

W frameworku Fission (serverless na Kubernetes) w wersjach przed 1.24.0 brak walidacji pól podSpec pozwalał na propagację niebezpiecznych konfiguracji do generowanych podów. Podatność umożliwia atakującemu z podstawowymi uprawnieniami przejęcie kontroli nad środowiskiem kontenerowym i eskalację uprawnień w klastrze Kubernetes.

Pokaż oryginał (EN)

Fission is an open-source, Kubernetes-native serverless framework that simplifies the deployment of functions and applications on Kubernetes. Prior to version 1.24.0, the Environment.spec.runtime.podSpec / spec.builder.podSpec passthrough lacked validation, and MergePodSpec propagated dangerous fields into the generated pods. This issue has been patched in version 1.24.0.

🤖 Analiza AI
Jak działa

Pola Environment.spec.runtime.podSpec oraz spec.builder.podSpec były przekazywane do generowanych podów bez żadnej walidacji. Funkcja MergePodSpec propagowała niebezpieczne wartości konfiguracyjne bezpośrednio do specyfikacji tworzonych podów. Atakujący z uprawnieniami do tworzenia lub modyfikowania obiektów Environment w Fission mógł wstrzyknąć złośliwe parametry podSpec — np. montowanie wrażliwych ścieżek hosta, ustawienia uprzywilejowanych kontenerów czy nadpisywanie kontekstu bezpieczeństwa — które następnie były automatycznie stosowane w uruchamianych podach.

Skutki

Atakujący może uzyskać podwyższone uprawnienia w obrębie klastra Kubernetes, potencjalnie prowadząc do przejęcia węzłów, dostępu do wrażliwych zasobów klastra oraz naruszenia poufności, integralności i dostępności całego środowiska.

Mitygacja

Należy zaktualizować Fission do wersji 1.24.0, w której wprowadzono walidację pól podSpec oraz ograniczono propagację niebezpiecznych konfiguracji przez MergePodSpec. Szczegóły dostępne w wydaniu v1.24.0 oraz pull requestach #3390 i #3391 w repozytorium projektu.

Kogo dotyczy

Fission (open-source serverless framework dla Kubernetes) w wersjach przed 1.24.0

Uwagi

Podatność zgłoszona i załatana w ramach procesu odpowiedzialnego ujawnienia — advisory opublikowane w GitHub Security Advisories projektu Fission (GHSA-wmgg-3p4h-48x7).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Container
CWE
Referencje