CVE-2026-46614
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 13 — wyżej niż 13% wszystkich znanych CVE
Streszczenie
Fission, framework serverless dla Kubernetes, przed wersją 1.23.0 rejestrował wewnętrzne trasy dla obiektów funkcji, co pozwalało na ich wywoływanie bez odpowiednich uprawnień. Umożliwiało to atakującym wywoływanie funkcji poprzez zgadywanie ich nazw i przestrzeni nazw.
Ocena ryzyka
Organizacje mogły być narażone na nieautoryzowane wywołania funkcji, co prowadziło do potencjalnych naruszeń bezpieczeństwa i niekontrolowanego dostępu do zasobów.
Rekomendacja
Zaleca się aktualizację Fission do wersji 1.23.0 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających w celu ochrony funkcji.
Oryginalny opis (angielski, źródło NVD)
Fission is an open-source, Kubernetes-native serverless framework that simplifies the deployment of functions and applications on Kubernetes. Prior to version 1.23.0, the Fission router registers an internal-style route — /fission-function/<name> and /fission-function/<ns>/<name> — for every Function object, independent of whether any HTTPTrigger exists for that function. The route was mounted on the same listener as user-defined HTTPTriggers (svc/router, port 8888), so any caller who could reach the router could invoke any function by guessing its metadata.name (and namespace), bypassing the host / path / method / method-allow-list restrictions encoded in HTTPTrigger objects. This issue has been patched in version 1.23.0.

