CVE-2026-42457vCluster Platform是一款用于管理虚拟集群和多租户的Kubernetes平台。在特定版本之前,该平台存在严重的存储型XSS漏洞。攻击者利用templateRef的name字段可注入恶意脚本,该脚本存储在服务器端并在其他用户(如管理员)访问时触发。利用此漏洞,拥有命名空间创建权限的攻击者能够执行任意JavaScript代码,进而可能创建具有最高权限的Global-Admin用户,完全绕过现有的安全限制,导致系统被完全接管。
该漏洞属于存储型跨站脚本攻击(Stored XSS)。具体而言,vCluster Platform在处理用户输入时,对templateRef对象的name字段缺乏严格的输入验证和输出编码。攻击者首先需要拥有在目标平台上创建命名空间的权限。在此基础上,攻击者可以创建一个恶意的命名空间或模板,并在name字段中植入经过精心构造的JavaScript恶意代码。由于后端直接存储该数据而未进行清洗,当管理员或其他高权限用户在管理界面浏览包含该恶意name字段的资源时,嵌入的脚本将在受害者的浏览器上下文中自动执行。这种攻击方式允许攻击者窃取Session凭证、执行管理操作,甚至利用平台API直接创建新的Global-Admin账户,从而实现对整个Kubernetes平台的未授权控制。