CVE-2026-32604
KrytyczneStreszczenie
Spinnaker to otwartoźródłowa platforma do ciągłego dostarczania w chmurze. W wersjach przed 2026.1.0, 2026.0.1, 2025.4.2 i 2025.3.2, złośliwy użytkownik może łatwo wykonywać dowolne polecenia na podach clouddriver, co może prowadzić do ujawnienia poświadczeń, usunięcia plików lub łatwego wstrzykiwania zasobów.
Ocena ryzyka
Organizacja narażona jest na poważne ryzyko związane z bezpieczeństwem, w tym możliwość utraty danych i kompromitacji systemów. Wykorzystanie tej podatności może prowadzić do nieautoryzowanego dostępu do wrażliwych informacji.
Rekomendacja
Zaleca się aktualizację do wersji 2026.1.0, 2026.0.1, 2025.4.2 lub 2025.3.2, które zawierają poprawki. Alternatywnie, można wyłączyć typy artefaktów gitrepo jako tymczasowe rozwiązanie.
Oryginalny opis (angielski, źródło NVD)
Spinnaker is an open source, multi-cloud continuous delivery platform. In versions prior to 2026.1.0, 2026.0.1, 2025.4.2, and 2025.3.2, a bad actor can execute arbitrary commands very simply on the clouddriver pods. This can expose credentials, remove files, or inject resources easily. Versions 2026.1.0, 2026.0.1, 2025.4.2, and 2025.3.2 contain a patch. As a workaround, disable the gitrepo artifact types.

