CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-22872

CriticalCVSS 9.1
Published: Updated: Translated: NVD NIST

Summary

Capsule to framework dla Kubernetes, który obsługuje wielo-tenancy i polityki. Kontroler Capsule działa z uprawnieniami cluster-admin, co pozwala administratorom tenantów na tworzenie zasobów o zasięgu klastra, co prowadzi do eskalacji uprawnień między tenantami oraz ataków na poziomie klastra przed wersją 0.13.0.

Risk Assessment

Organizacje mogą być narażone na ataki, które wykorzystują podwyższone uprawnienia kontrolera Capsule, co może prowadzić do nieautoryzowanego dostępu do zasobów klastra. Wymaga to jednak posiadania uprawnień właściciela tenantów oraz domyślnej konfiguracji kontrolera działającego z uprawnieniami cluster-admin.

Recommendation

Zaleca się aktualizację do wersji 0.13.0 lub nowszej, aby załatać tę podatność. Dodatkowo warto rozważyć wdrożenie dodatkowych kontrolerów przyjęć, aby zablokować złośliwe zasoby.

Original NVD description (English source)

Capsule is a multi-tenancy and policy-based framework for Kubernetes. The Capsule Controller runs with cluster-admin privileges. Although the TenantResource RawItems processing logic forcibly sets the namespace, this is ineffective for cluster-scoped resources. Prior to version 0.13.0, tenant administrators can leverage the Controller's elevated privileges to create cluster-scoped resources (such as ClusterRole and ValidatingWebhookConfiguration) that they cannot create directly, achieving cross-tenant privilege escalation and cluster-level attacks. The attack vector has a few limiting factors. This attack requires Tenant Owner privileges and requires Capsule Controller running with cluster-admin privileges (default configuration). Additionally, some clusters may have additional admission controllers blocking malicious resources. Version 0.13.0 patches this issue.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS