Katalog CVE

CVE-2026-22872

KrytyczneCVSS 9.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Capsule to framework dla Kubernetes, który obsługuje wielo-tenancy i polityki. Kontroler Capsule działa z uprawnieniami cluster-admin, co pozwala administratorom tenantów na tworzenie zasobów o zasięgu klastra, co prowadzi do eskalacji uprawnień między tenantami oraz ataków na poziomie klastra przed wersją 0.13.0.

Ocena ryzyka

Organizacje mogą być narażone na ataki, które wykorzystują podwyższone uprawnienia kontrolera Capsule, co może prowadzić do nieautoryzowanego dostępu do zasobów klastra. Wymaga to jednak posiadania uprawnień właściciela tenantów oraz domyślnej konfiguracji kontrolera działającego z uprawnieniami cluster-admin.

Rekomendacja

Zaleca się aktualizację do wersji 0.13.0 lub nowszej, aby załatać tę podatność. Dodatkowo warto rozważyć wdrożenie dodatkowych kontrolerów przyjęć, aby zablokować złośliwe zasoby.

Oryginalny opis (angielski, źródło NVD)

Capsule is a multi-tenancy and policy-based framework for Kubernetes. The Capsule Controller runs with cluster-admin privileges. Although the TenantResource RawItems processing logic forcibly sets the namespace, this is ineffective for cluster-scoped resources. Prior to version 0.13.0, tenant administrators can leverage the Controller's elevated privileges to create cluster-scoped resources (such as ClusterRole and ValidatingWebhookConfiguration) that they cannot create directly, achieving cross-tenant privilege escalation and cluster-level attacks. The attack vector has a few limiting factors. This attack requires Tenant Owner privileges and requires Capsule Controller running with cluster-admin privileges (default configuration). Additionally, some clusters may have additional admission controllers blocking malicious resources. Version 0.13.0 patches this issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS