Katalog CVE

CVE-2026-25996

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Inspektor Gadget to zestaw narzędzi i framework do zbierania danych oraz inspekcji systemu w klastrach Kubernetes i hostach Linux przy użyciu eBPF. Pola tekstowe z wydarzeń eBPF w trybie wyjścia kolumnowego są renderowane w terminalu bez jakiejkolwiek sanitizacji znaków kontrolnych lub sekwencji ucieczki ANSI.

Ocena ryzyka

Złośliwie sfałszowany ładunek zdarzenia, pochodzący z obserwowanego kontenera, może wstrzyknąć sekwencje ucieczki do terminala operatorów ig, co może prowadzić do różnych niepożądanych efektów. To stwarza ryzyko dla bezpieczeństwa operacji w środowisku Kubernetes.

Rekomendacja

Zaleca się wprowadzenie sanitizacji danych wyjściowych w trybie kolumnowym, aby zapobiec wstrzykiwaniu złośliwych sekwencji ucieczki do terminala. Należy również rozważyć ograniczenie użycia trybu interaktywnego w przypadku nieznanych źródeł danych.

Oryginalny opis (angielski, źródło NVD)

Inspektor Gadget is a set of tools and framework for data collection and system inspection on Kubernetes clusters and Linux hosts using eBPF. String fields from eBPF events in columns output mode are rendered to the terminal without any sanitization of control characters or ANSI escape sequences. Therefore, a maliciously forged – partially or completely – event payload, coming from an observed container, might inject the escape sequences into the terminal of ig operators, with various effects. The columns output mode is the default when running ig run interactively.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS