Katalog CVE

CVE-2026-50565

ŚrednieCVSS 4.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.03%

Percentyl 7 — wyżej niż 7% wszystkich znanych CVE

Streszczenie

Fission, framework serverless oparty na Kubernetes, przed wersją 1.24.0 tworzył pody budownicze z automatycznie montowanym tokenem konta usługi, co mogło prowadzić do nieautoryzowanego dostępu do zasobów. Problem został naprawiony w wersji 1.24.0.

Ocena ryzyka

Organizacje mogły być narażone na nieautoryzowany dostęp do zasobów Kubernetes przez złośliwe obrazy budownicze. Wykorzystanie tej podatności mogło prowadzić do poważnych naruszeń bezpieczeństwa.

Rekomendacja

Zaleca się aktualizację Fission do wersji 1.24.0 lub nowszej, aby usunąć ryzyko związane z automatycznym montowaniem tokenów konta usługi.

Oryginalny opis (angielski, źródło NVD)

Fission is an open-source, Kubernetes-native serverless framework that simplifies the deployment of functions and applications on Kubernetes. Prior to version 1.24.0, Fission builder pods were created with ServiceAccountName: fission-builder and no AutomountServiceAccountToken: false, so the kubelet auto-mounted the service-account token into every container in the pod — including the user-supplied builder image. This issue has been patched in version 1.24.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS