つみかさね

CVE-2026-41485

High(7.7)

CVE-2026-41485 — Kyverno forEachミューテーション経由CrashLoopBackOff

公開日: 2026-04-26データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Kyvernokyverno< 1.17.2, < 1.16.4

対応ガイド

high|推奨セキュリティ修正影響: 広範

推奨アクション

  1. 1Kyvernoのバージョンを確認する
  2. 21.17.2または1.16.4以降へアップデートする
  3. 3CrashLoopBackOffが発生している場合、forEach含むミューテーションポリシーを確認する

影響対象

Kyverno利用者(Kubernetes)

補足

  • -レガシーエンジンのみ影響。CELベースポリシーは対象外
CVEKyvernoKubernetesDoS

概要

Kubernetesポリシーエンジン「Kyverno」のバージョン1.17.2 / 1.16.4未満に、サービス拒否(DoS)脆弱性が存在します。

forEach ミューテーションハンドラに未チェックの型アサーションがあり、PolicyまたはClusterPolicyを作成する権限を持つユーザーが、クラスタ全体のバックグラウンドコントローラを永続的なCrashLoopBackOffに陥れることができます。同じバグがアドミッションコントローラにも影響し、一致するすべてのリソース操作がブロックされます。

レガシーエンジンのみが影響を受け、CELベースのポリシーは対象外です。

CVSSベクトル

指標
CVSSスコア7.7(High)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な権限レベル
CWECWE-617(到達可能なアサーション)

影響を受けるソフトウェア

製品ベンダー影響バージョン修正バージョン
Kyvernokyverno1.17.2未満1.17.2
Kyvernokyverno1.16.4未満1.16.4

修正バージョンと回避策

  • 修正: Kyverno 1.17.2または1.16.4以降へアップデート
  • 回避策: 問題のポリシーを削除してコントローラを復旧。CELベースのポリシーへの移行を検討

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-41485
GHSA:https://github.com/kyverno/kyverno/security/advisories/GHSA-fpjq-c37h-cqcv
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。