Katalog CVE

CVE-2026-46614

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.04%

Percentyl 13 — wyżej niż 13% wszystkich znanych CVE

Streszczenie

Fission, framework serverless dla Kubernetes, przed wersją 1.23.0 rejestrował wewnętrzne trasy dla obiektów funkcji, co pozwalało na ich wywoływanie bez odpowiednich uprawnień. Umożliwiało to atakującym wywoływanie funkcji poprzez zgadywanie ich nazw i przestrzeni nazw.

Ocena ryzyka

Organizacje mogły być narażone na nieautoryzowane wywołania funkcji, co prowadziło do potencjalnych naruszeń bezpieczeństwa i niekontrolowanego dostępu do zasobów.

Rekomendacja

Zaleca się aktualizację Fission do wersji 1.23.0 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających w celu ochrony funkcji.

Oryginalny opis (angielski, źródło NVD)

Fission is an open-source, Kubernetes-native serverless framework that simplifies the deployment of functions and applications on Kubernetes. Prior to version 1.23.0, the Fission router registers an internal-style route — /fission-function/<name> and /fission-function/<ns>/<name> — for every Function object, independent of whether any HTTPTrigger exists for that function. The route was mounted on the same listener as user-defined HTTPTriggers (svc/router, port 8888), so any caller who could reach the router could invoke any function by guessing its metadata.name (and namespace), bypassing the host / path / method / method-allow-list restrictions encoded in HTTPTrigger objects. This issue has been patched in version 1.23.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS