Katalog CVE

CVE-2026-50569

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.04%

Percentyl 12 — wyżej niż 12% wszystkich znanych CVE

Streszczenie

Fission to framework serverless, natywny dla Kubernetes, który przed wersją 1.25.0 nieprawidłowo walidował pola RelativeURL i Prefix w HTTPTriggerSpec.Validate(). Te pola były weryfikowane tylko na poziomie CLI, co pozwalało na obejście kontroli URL przy użyciu kubectl lub bezpośrednich wywołań REST API Kubernetes.

Ocena ryzyka

Organizacje mogą być narażone na ataki, które wykorzystują niewłaściwą walidację URL, co może prowadzić do nieautoryzowanego dostępu do funkcji i aplikacji działających w Kubernetes.

Rekomendacja

Zaleca się aktualizację do wersji 1.25.0 lub nowszej, aby zapewnić prawidłową walidację wszystkich pól w HTTPTriggerSpec.

Oryginalny opis (angielski, źródło NVD)

Fission is an open-source, Kubernetes-native serverless framework that simplifies the deployment of functions and applications on Kubernetes. Prior to version 1.25.0, HTTPTriggerSpec.Validate() validated Methods, FunctionReference, Host, IngressConfig, and CorsConfig, but silently skipped RelativeURL and Prefix. Those two fields were validated at the CLI level only (pkg/fission-cli/cmd/httptrigger/create.go:83). The post-CRD-modernization webhook for HTTPTrigger was retired in favor of API-server CEL — and CEL had no rules on those fields either — so an HTTPTrigger created via kubectl apply or a direct Kubernetes REST API call bypassed every URL-level check. This issue has been patched in version 1.25.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS