文章总结： Kyverno爆出严重漏洞CVE-2026-22039，CVSS满分10，允许拥有命名空间策略创建权限的用户提权至集群管理员，破坏隔离机制。同时修复的高危DoS漏洞CVE-2026-23881可导致引擎崩溃。影响版本包括1.16.2及更早版本。建议管理员立即升级至v1.16.3或v1.15.3以修复权限提升风险及内存消耗问题，确保集群安全。 综合评分： 90 文章分类： 漏洞分析,漏洞预警,云安全

面向所有集群管理员：Kyverno 严重缺陷（CVSS 10）破坏隔离

sec随谈 sec随谈

sec随谈

2026年1月30日 08:38 北京

Kyverno 是一款流行的 Kubernetes 原生策略引擎，其维护者发布了一项紧急安全更新，以修复一个严重漏洞。该漏洞会破坏平台的隔离边界。该漏洞编号为 CVE-2026-22039，CVSS 评分最高为 10 分。它允许任何拥有策略创建权限的用户实际上成为集群管理员。

此次更新还修复了一个高危拒绝服务 (DoS)漏洞(CVE-2026-23881)，进一步凸显了多租户环境中复杂策略引擎的风险。

该严重漏洞 CVE-2026-22039 源于 Kyverno 在处理命名空间策略中的 API 调用时存在缺陷。通常情况下，在特定命名空间（例如“dev-team-a”）中创建的策略应该仅限于该命名空间内。然而，研究人员发现 apiCall 功能缺乏这种强制执行机制。

该公告解释说： “解析后的 urlPath 是使用 Kyverno 准入控制器 ServiceAccount 执行的，没有强制要求请求限制在策略的命名空间内。”

这种疏忽后果不堪设想，因为 Kyverno 准入控制器通常拥有广泛的集群级权限。攻击者可以利用这一点，通过编写策略将变量替换到 urlPath 字段中，诱使 Kyverno 代表他们发出请求。

“任何经过身份验证并有权创建命名空间策略的用户都可以使 Kyverno 执行 Kubernetes API 请求……针对该服务帐户的 RBAC 允许的任何 API 路径”。

后果非常严重：

• 权限提升：攻击者可以在 kube-system 命名空间中创建 RoleBinding，从而授予自己集群管理员权限。
• 数据泄露：敏感数据（包括密钥和令牌）可以从任何命名空间中被窃取。
• 集群中断：攻击者可以创建恶意集群策略来阻止关键操作，例如 Pod 调度。

除了权限提升漏洞外，该团队还修复了 CVE-2026-23881，这是一个 CVSS 评分为 7.7 的拒绝服务漏洞。该漏洞允许用户通过创建触发指数级内存消耗的策略来使 Kyverno 引擎崩溃。

该公告写道： “Kyverno 策略引擎中无限制的内存消耗允许用户……通过创建策略，利用上下文变量以指数级方式放大字符串数据，从而造成拒绝服务。”

虽然不如完全接管那么严重，但影响仍然很大。准入控制器崩溃会导致集群范围内的策略执行失效。如果集群配置了 failurePolicy: Ignore，则工作负载可能会在中断期间绕过所有验证，从而为进一步的攻击或配置错误敞开大门。

这两个漏洞都会影响 Kyverno 版本 1.16.2 及更早版本，以及 1.15.2 及更早版本。

维护者已发布修复版本 v1.16.3 和 v1.15.3，引入了严格的验证逻辑。针对关键漏洞，新逻辑确保命名空间策略只能针对其自身命名空间内的资源，并拒绝任何试图跨越边界的请求。

参考链接：

https://github.com/kyverno/kyverno/security/advisories/GHSA-r2rj-wwm5-x6mq

https://github.com/kyverno/kyverno/security/advisories/GHSA-8p9x-46gm-qfx2

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec随谈 sec随谈 sec随谈《面向所有集群管理员：Kyverno 严重缺陷（CVSS 10）破坏隔离》