CVE-2026-25996
CriticalSummary
Inspektor Gadget to zestaw narzędzi i framework do zbierania danych oraz inspekcji systemu w klastrach Kubernetes i hostach Linux przy użyciu eBPF. Pola tekstowe z wydarzeń eBPF w trybie wyjścia kolumnowego są renderowane w terminalu bez jakiejkolwiek sanitizacji znaków kontrolnych lub sekwencji ucieczki ANSI.
Risk Assessment
Złośliwie sfałszowany ładunek zdarzenia, pochodzący z obserwowanego kontenera, może wstrzyknąć sekwencje ucieczki do terminala operatorów ig, co może prowadzić do różnych niepożądanych efektów. To stwarza ryzyko dla bezpieczeństwa operacji w środowisku Kubernetes.
Recommendation
Zaleca się wprowadzenie sanitizacji danych wyjściowych w trybie kolumnowym, aby zapobiec wstrzykiwaniu złośliwych sekwencji ucieczki do terminala. Należy również rozważyć ograniczenie użycia trybu interaktywnego w przypadku nieznanych źródeł danych.
Original NVD description (English source)
Inspektor Gadget is a set of tools and framework for data collection and system inspection on Kubernetes clusters and Linux hosts using eBPF. String fields from eBPF events in columns output mode are rendered to the terminal without any sanitization of control characters or ANSI escape sequences. Therefore, a maliciously forged – partially or completely – event payload, coming from an observed container, might inject the escape sequences into the terminal of ig operators, with various effects. The columns output mode is the default when running ig run interactively.

