CVE-2026-32241: Luka w zabezpieczeniach Flannel umożliwiająca wykonanie poleceń z uprawnieniami root

Wysokie ryzyko w Flannel do Kubernetes (przed 0.28.2) pozwala na wykonanie poleceń z uprawnieniami root przez atakującego modyfikującego adnotacje węzłów.
CVE-2026-32241CVSS 7.5Containers

CVE-2026-32241: Luka w zabezpieczeniach Flannel umożliwiająca wykonanie poleceń z uprawnieniami root

Wysokie ryzyko w Flannel do Kubernetes (przed 0.28.2) pozwala na wykonanie poleceń z uprawnieniami root przez atakującego modyfikującego adnotacje węzłów.

CVSS
7.5 HIGH
EPSS
84.17%
Aktywnie wykorzystywana
brak w KEV
Produkt
flannel

Co wiadomo

Flannel, sieciowa warstwa dla kontenerów Kubernetes, w wersjach przed 0.28.2 zawiera lukę w eksperymentalnym backendzie Extension, pozwalającą na wykonanie dowolnych poleceń z uprawnieniami root przez atakującego mogącego modyfikować adnotacje węzłów Kubernetes. Luka ta nie dotyczy innych backendów, takich jak vxlan czy wireguard.

Wpływ biznesowy

Wykorzystanie tej luki umożliwia atakującemu przejęcie pełnej kontroli nad wszystkimi węzłami Flannel w klastrze Kubernetes, co może prowadzić do poważnych naruszeń bezpieczeństwa i przerw w działaniu usług. Operatorzy infrastruktury powinni zweryfikować używaną wersję Flannel i backend, aby ocenić ryzyko i zaplanować działania naprawcze.

Rekomendowane działania administratora

Zaleca się jak najszybszą aktualizację Flannel do wersji 0.28.2 lub nowszej, w której luka została załatana. Jeśli aktualizacja nie jest możliwa od razu, należy rozważyć przełączenie na bezpieczny backend, taki jak vxlan lub wireguard. Dodatkowo warto ograniczyć możliwość modyfikacji adnotacji węzłów Kubernetes oraz monitorować logi pod kątem podejrzanych działań.

Źródła