CVE-2026-41413 CVSS 5.0 中危

CVE-2026-41413 Istio信息泄露漏洞

披露日期: 2026-05-07

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-41413

漏洞类型

服务端请求伪造 (SSRF)

CVSS评分

5.0 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Istio

漏洞概述

Istio在1.28.6和1.29.2之前的版本中存在一处信息泄露漏洞。当攻击者创建一个RequestAuthentication资源，并将其jwksUri字段配置为指向内部服务时，istiod组件会发起未经身份验证的HTTP GET请求来获取公钥。由于该过程未正确过滤本地回环地址或链路本地IP，攻击者可利用此缺陷探测内部服务，导致敏感数据通过xDS配置分发到Envoy代理，从而造成信息泄露。

技术细节

该漏洞的核心原理在于Istio控制平面组件istiod在处理RequestAuthentication自定义资源时，缺乏对目标URL的有效校验机制。在微服务架构中，RequestAuthentication常用于配置JWT认证策略，其中jwksUri指定了公钥集的获取地址。攻击者若拥有集群的低权限账号，即可构造恶意的YAML清单文件，创建一个指向本地回环地址（如http://127.0.0.1:15014）或云元数据服务（如http://169.254.169.254）的RequestAuthentication资源。istiod在解析该资源时，会无条件地向该内网地址发起未经认证的HTTP GET请求。这种服务端请求伪造（SSRF）行为使得istiod充当了攻击者的跳板。虽然主要影响是信息泄露，即内部服务的响应数据可能被嵌入到分发给Envoy代理的xDS配置中，但这为攻击者进一步探测内网拓扑或窃取凭证提供了通道。

攻击链分析

STEP 1

步骤1

攻击者获取Kubernetes集群的低权限账号（PR:L），具备创建或修改RequestAuthentication资源的权限。

STEP 2

步骤2

攻击者构造恶意的RequestAuthentication YAML配置，将jwksUri字段设置为指向本地回环地址（如127.0.0.1）或内网敏感服务的URL。

STEP 3

步骤3

攻击者将恶意配置应用到集群中，istiod控制平面接收并解析该资源。

STEP 4

步骤4

istiod在处理该资源时，向攻击者指定的内网地址发起未经身份验证的HTTP GET请求，触发SSRF漏洞。

STEP 5

步骤5

内网服务的响应数据（可能包含敏感信息）被istiod获取，并可能通过xDS协议分发给Envoy数据平面代理，导致信息泄露。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

apiVersion: security.istio.io/v1beta1
kind: RequestAuthentication
metadata:
  name: cve-2026-41413-poc
  namespace: default
spec:
  selector:
    matchLabels:
      app: vulnerable-app
  jwtRules:
  - issuer: "attacker-controlled-issuer"
    # Exploit: Pointing to localhost/internal metadata to trigger SSRF
    jwksUri: "http://127.0.0.1:15014/debug/configz"

影响范围

Istio < 1.28.6

Istio < 1.29.2

防御指南

临时缓解措施

建议通过RBAC严格控制能够创建RequestAuthentication资源的用户权限，仅限管理员账户操作。此外，可在网络层面限制istiod组件对本地回环地址及链路本地地址的出站访问，以阻断潜在的SSRF攻击路径。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表