CVE-2026-42457
KrytyczneStreszczenie
vCluster Platform przed wersjami 4.4.3, 4.5.5, 4.6.2, 4.7.1 i 4.8.0 zawiera podatność na atak Stored XSS poprzez pole nazwy w templateRef. Może to prowadzić do wykonania dowolnych zewnętrznych skryptów w kontekście przeglądarki platformy.
Ocena ryzyka
Atakujący, posiadając możliwość tworzenia przestrzeni nazw, może stworzyć nowego użytkownika Global-Admin, omijając inne ograniczenia bezpieczeństwa, co stwarza poważne zagrożenie dla organizacji.
Rekomendacja
Zaleca się aktualizację do wersji 4.4.3, 4.5.5, 4.6.2, 4.7.1 lub 4.8.0, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
vCluster Platform provides a Kubernetes platform for managing virtual clusters, multi-tenancy, and cluster sharing. Prior to 4.4.3, 4.5.5, 4.6.2, 4.7.1, and 4.8.0, there is a Stored XSS attack vulnerability via the name field of a templateRef. This can lead to the execution of arbitrary external scripts within the platform's browser context. In the worst case, a malicious user could potentially create a new Global-Admin user, bypassing other security restrictions. The attacker needs the ability to create namespaces. This vulnerability is fixed in 4.4.3, 4.5.5, 4.6.2, 4.7.1, and 4.8.0.

