CVE-2026-47190
ŚrednieCVSS 4.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 34 — wyżej niż 34% wszystkich znanych CVE
Streszczenie
IPAM, menedżer adresów IP dla Cluster API Provider Metal3, przed wersjami 1.11.7, 1.12.4 i 1.13.0, przyznawał pełne uprawnienia CRUD dla core/v1 Secrets. W normalnych warunkach controller nie uzyskuje dostępu do Secrets, jednak w przypadku kompromitacji podu kontrolera, atakujący mógłby wykorzystać te nadmierne uprawnienia do odczytu, modyfikacji lub usunięcia Secrets.
Ocena ryzyka
Kompromitacja kontrolera może prowadzić do ujawnienia danych uwierzytelniających oraz innych wrażliwych informacji, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się aktualizację do wersji 1.11.7, 1.12.4 lub 1.13.0, aby usunąć nadmierne uprawnienia i zminimalizować ryzyko.
Oryginalny opis (angielski, źródło NVD)
IPAM is the IP address Manager for Cluster API Provider Metal3. Prior to versions 1.11.7, 1.12.4, and 1.13.0, the IPAM controller's ClusterRole granted full CRUD permissions (create, delete, get, list, patch, update, watch) on core/v1 Secrets. The controller never accesses Secrets during normal operation. If the controller pod were compromised (e.g. via supply chain attack or container escape), an attacker could leverage these excessive permissions to read, modify, or delete Secrets in the namespace, potentially exposing credentials and other sensitive data. This issue has been patched in versions 1.11.7, 1.12.4, and 1.13.0.

