Katalog CVE

CVE-2026-6388

KrytyczneCVSS 9.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.36%

Percentyl 28 — wyżej niż 28% wszystkich znanych CVE

Streszczenie

W ArgoCD Image Updater wykryto lukę, która pozwala atakującemu z uprawnieniami do tworzenia lub modyfikowania zasobu ImageUpdater w środowisku wielodostępnym na ominięcie granic przestrzeni nazw. Poprzez niewystarczającą walidację atakujący może wywołać nieautoryzowane aktualizacje obrazów w aplikacjach zarządzanych przez innych dzierżawców.

Ocena ryzyka

Ryzyko polega na eskalacji uprawnień między przestrzeniami nazw, co może prowadzić do naruszenia integralności aplikacji poprzez nieautoryzowane aktualizacje obrazów, potencjalnie umożliwiając wstrzyknięcie złośliwego kodu.

Rekomendacja

Zaleca się natychmiastową aktualizację ArgoCD Image Updater do najnowszej wersji zawierającej poprawkę oraz ograniczenie uprawnień do tworzenia i modyfikowania zasobów ImageUpdater tylko do zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

A flaw was found in ArgoCD Image Updater. This vulnerability allows an attacker, with permissions to create or modify an ImageUpdater resource in a multi-tenant environment, to bypass namespace boundaries. By exploiting insufficient validation, the attacker can trigger unauthorized image updates on applications managed by other tenants. This leads to cross-namespace privilege escalation, impacting application integrity through unauthorized application updates.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS