Katalog CVE

CVE-2026-10609

ŚrednieCVSS 6.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.24%

Percentyl 14 - wyżej niż 14% wszystkich znanych CVE

Streszczenie

W operatorze OpenShift Cluster Logging wykryto brak autoryzacji przy przekazywaniu tokenów ServiceAccount. Operator tworzy i wysyła tokeny do miejsc docelowych bez weryfikacji, czy twórca ClusterLogForwarder ma uprawnienia do ich użycia.

Ocena ryzyka

Delegowany edytor może wyeksfiltrować tokeny ServiceAccount i eskalować swoje uprawnienia w klastrze OpenShift, co prowadzi do nieautoryzowanego dostępu do zasobów.

Rekomendacja

Zaktualizuj operatora OpenShift Cluster Logging do wersji zawierającej poprawkę usuwającą brak autoryzacji. Ogranicz dostęp do tworzenia ClusterLogForwarder tylko do zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

A missing authorization flaw was found in the OpenShift Cluster Logging Operator. The operator creates and forwards ServiceAccount tokens to output destinations without verifying that the ClusterLogForwarder creator has permission to use those credentials, allowing a delegated editor to exfiltrate SA tokens and escalate privileges.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS