CVE-2026-32241: Luka w zabezpieczeniach Flannel umożliwiająca wykonanie poleceń z uprawnieniami root
Wysokie ryzyko w Flannel do Kubernetes (przed 0.28.2) pozwala na wykonanie poleceń z uprawnieniami root przez atakującego modyfikującego adnotacje węzłów.
- CVSS
- 7.5 HIGH
- EPSS
- 84.17%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- flannel
Co wiadomo
Flannel, sieciowa warstwa dla kontenerów Kubernetes, w wersjach przed 0.28.2 zawiera lukę w eksperymentalnym backendzie Extension, pozwalającą na wykonanie dowolnych poleceń z uprawnieniami root przez atakującego mogącego modyfikować adnotacje węzłów Kubernetes. Luka ta nie dotyczy innych backendów, takich jak vxlan czy wireguard.
Wpływ biznesowy
Wykorzystanie tej luki umożliwia atakującemu przejęcie pełnej kontroli nad wszystkimi węzłami Flannel w klastrze Kubernetes, co może prowadzić do poważnych naruszeń bezpieczeństwa i przerw w działaniu usług. Operatorzy infrastruktury powinni zweryfikować używaną wersję Flannel i backend, aby ocenić ryzyko i zaplanować działania naprawcze.
Rekomendowane działania administratora
Zaleca się jak najszybszą aktualizację Flannel do wersji 0.28.2 lub nowszej, w której luka została załatana. Jeśli aktualizacja nie jest możliwa od razu, należy rozważyć przełączenie na bezpieczny backend, taki jak vxlan lub wireguard. Dodatkowo warto ograniczyć możliwość modyfikacji adnotacji węzłów Kubernetes oraz monitorować logi pod kątem podejrzanych działań.