CVE-2026-29954KubePlus 4.1.4版本中的mutating webhook和kubeconfiggenerator组件存在服务端请求伪造(SSRF)漏洞。该漏洞源于在处理ResourceComposition资源的chartURL字段时,系统仅对该字段进行了URL编码,却未对目标地址进行有效的安全验证。更为严重的是,kubeconfiggenerator组件在利用wget下载charts时,直接将chartURL拼接至命令行中。这一缺陷使得攻击者能够注入wget的`--header`选项,从而导致任意的HTTP头注入攻击,对系统安全性构成严重威胁。
该漏洞的核心原理在于KubePlus处理用户输入的chartURL时缺乏严格的过滤机制,且存在不安全的命令调用方式。在KubePlus的架构中,ResourceComposition资源允许用户指定chartURL以获取Helm Charts。当kubeconfiggenerator组件接收到该URL时,它没有使用安全的HTTP客户端库,而是通过调用系统命令`wget`来下载资源。代码逻辑直接将用户可控的chartURL拼接到wget命令字符串中执行。
由于wget支持通过`--header`参数添加自定义HTTP头部,攻击者可以利用命令拼接的特性,在chartURL中插入换行符或特定转义字符,从而注入额外的wget参数。例如,通过构造包含` --header "X-Attack: payload"`的URL,攻击者可以操纵发出的HTTP请求。这不仅导致了SSRF,允许攻击者探测内网服务,还通过HTTP头注入可能绕过某些基于头部的安全检查。虽然CVSS要求高权限(PR:H),但一旦具备权限,即可利用此漏洞进行内网横向移动或敏感信息窃取。