Katalog CVE

CVE-2026-47190

ŚrednieCVSS 4.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.42%

Percentyl 34 — wyżej niż 34% wszystkich znanych CVE

Streszczenie

IPAM, menedżer adresów IP dla Cluster API Provider Metal3, przed wersjami 1.11.7, 1.12.4 i 1.13.0, przyznawał pełne uprawnienia CRUD dla core/v1 Secrets. W normalnych warunkach controller nie uzyskuje dostępu do Secrets, jednak w przypadku kompromitacji podu kontrolera, atakujący mógłby wykorzystać te nadmierne uprawnienia do odczytu, modyfikacji lub usunięcia Secrets.

Ocena ryzyka

Kompromitacja kontrolera może prowadzić do ujawnienia danych uwierzytelniających oraz innych wrażliwych informacji, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się aktualizację do wersji 1.11.7, 1.12.4 lub 1.13.0, aby usunąć nadmierne uprawnienia i zminimalizować ryzyko.

Oryginalny opis (angielski, źródło NVD)

IPAM is the IP address Manager for Cluster API Provider Metal3. Prior to versions 1.11.7, 1.12.4, and 1.13.0, the IPAM controller's ClusterRole granted full CRUD permissions (create, delete, get, list, patch, update, watch) on core/v1 Secrets. The controller never accesses Secrets during normal operation. If the controller pod were compromised (e.g. via supply chain attack or container escape), an attacker could leverage these excessive permissions to read, modify, or delete Secrets in the namespace, potentially exposing credentials and other sensitive data. This issue has been patched in versions 1.11.7, 1.12.4, and 1.13.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS