概要
Kubernetes の ポリシーエンジン Kyverno の バージョン 1.16.0 以降 に おいて、CEL(Common Expression Language)の HTTP 関数 に 適切 な 制限 が なく、SSRF(Server-Side Request Forgery) が 可能 な 脆弱性 が 存在 します。
攻撃者 は この 脆弱性 を 悪用 して、Kubernetes クラスタ 内部 の サービス や メタデータ エンドポイント に 不正 に アクセス できる 可能性 が あります。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 9.8(Critical) |
| 攻撃 元 区分 | ネットワーク |
| 攻撃 条件 の 複雑 さ | 低 |
| 必要 な 特権 レベル | 不要 |
| ユーザー 関与 | 不要 |
| CWE | CWE-918(SSRF) |
影響 を 受ける ソフトウェア
| 製品 | 影響 条件 | 修正 バージョン |
|---|---|---|
| Kyverno | 1.16.0 以降 | 修正バージョン要確認 |
修正 バージョン と 回避策
- CERT/CC の アドバイザリ(VU#655822)を 確認 し、修正 バージョン が 公開 され次第 アップデート して ください
- CEL ポリシー で HTTP 関数 を 使用 して いる 場合 は、ネットワーク ポリシー で 外部 アクセス を 制限 する こと が 有効 です
- Kyverno Pod の ネットワーク アクセス を 最小限 に 制限 する こと を 推奨 します
関連 リンク
データソース: NVD (NIST), CERT/CC AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。