Krytyczna luka w Fission do wersji 1.24.0 umożliwiająca manipulację specyfikacją podów

Fission przed 1.24.0 umożliwiał manipulację specyfikacją podów w Kubernetes. Zalecana szybka aktualizacja do wersji 1.24.0.
CVE-2026-50563CVSS 9.9Containers

Krytyczna luka w Fission do wersji 1.24.0 umożliwiająca manipulację specyfikacją podów

Fission przed 1.24.0 umożliwiał manipulację specyfikacją podów w Kubernetes. Zalecana szybka aktualizacja do wersji 1.24.0.

CVSS
9.9 CRITICAL
EPSS
19.19%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

Fission, open-source'owy framework serverless dla Kubernetes, przed wersją 1.24.0 pozwalał na bezpośrednie dostarczanie specyfikacji podów przez użytkownika, co mogło prowadzić do nieautoryzowanych modyfikacji. Luka została załatana w wersji 1.24.0.

Wpływ biznesowy

Luka o krytycznym poziomie CVSS 9.9 może umożliwić atakującym manipulację konfiguracją podów w środowisku Kubernetes, co stwarza ryzyko uruchomienia nieautoryzowanych kontenerów i potencjalnego przejęcia kontroli nad infrastrukturą. Operatorzy korzystający z Fission powinni pilnie zweryfikować wersję i podjąć działania minimalizujące ryzyko.

Rekomendowane działania administratora

Zaleca się niezwłoczne zaktualizowanie Fission do wersji 1.24.0 lub nowszej, w której luka została załatana. W przypadku braku możliwości aktualizacji, ograniczyć dostęp do funkcji umożliwiających podawanie specyfikacji podów przez użytkowników, monitorować logi pod kątem podejrzanych działań oraz przeprowadzić przegląd konfiguracji środowiska Kubernetes.

Źródła