CRITICAL🇬🇧 English

CVE-2026-50564

Fission: eskalacja uprawnień przez niekontrolowane pola podSpec w Environment CRD

CVSS 9.9v3.1pub. 2026-06-10

Podatność w Fission (Kubernetes-native serverless framework) przed wersją 1.24.0 pozwala uwierzytelnionemu użytkownikowi na uzyskanie rozszerzonych uprawnień na poziomie hosta i klastra poprzez spreparowane pole podSpec w zasobie Environment CRD. Ze względu na brak filtrowania i walidacji krytycznych pól, zagrożenie jest oceniane jako krytyczne (CVSS 9.9).

Pokaż oryginał (EN)

Fission is an open-source, Kubernetes-native serverless framework that simplifies the deployment of functions and applications on Kubernetes. Prior to version 1.24.0, Fission's Environment CRD exposes spec.runtime.podSpec and spec.builder.podSpec, which are merged into the Kubernetes pod specs for runtime and builder pods. The merge logic propagated hostNetwork, hostPID, hostIPC, container privileged, and serviceAccountName from the user-supplied podspec with no filtering, and Environment.Validate performed no security-relevant checks on these fields. This issue has been patched in version 1.24.0.

🤖 Analiza AI
Jak działa

Zasób Environment CRD w Fission udostępnia pola spec.runtime.podSpec oraz spec.builder.podSpec, których zawartość jest scalana (merge) z wewnętrznymi specyfikacjami podów Kubernetes dla środowisk runtime i builder. Logika scalania propagowała bez żadnego filtrowania pola takie jak hostNetwork, hostPID, hostIPC, container privileged oraz serviceAccountName dostarczone przez użytkownika. Funkcja Environment.Validate nie wykonywała żadnych kontroli bezpieczeństwa dotyczących tych pól, co umożliwiało ich swobodne nadpisywanie przez nieprivileged użytkownika.

Skutki

Atakujący z dostępem do tworzenia lub modyfikowania zasobów Environment CRD może uruchomić kontenery z uprawnieniami hosta (hostNetwork, hostPID, hostIPC, privileged) lub przejąć tożsamość dowolnego ServiceAccount w klastrze, co w praktyce może prowadzić do pełnego przejęcia węzła Kubernetes lub całego klastra.

Mitygacja

Należy zaktualizować Fission do wersji 1.24.0, w której problem został naprawiony. Patch dostępny jest w oficjalnym repozytorium GitHub projektu: https://github.com/fission/fission/releases/tag/v1.24.0

Kogo dotyczy

Fission w wersjach wcześniejszych niż 1.24.0 (open-source Kubernetes-native serverless framework)

Uwagi

Podatność dotyczy środowisk wielodostępnych Kubernetes, gdzie różni użytkownicy mają możliwość definiowania zasobów Environment CRD. Naprawa objęła dodanie walidacji bezpieczeństwa w funkcji Environment.Validate oraz filtrowanie niedozwolonych pól podczas scalania podSpec (PR #3391).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Container
CWE
Referencje