CVE-2026-32241: Уразливість командної ін’єкції в Flannel (до версії 0.28.2)

Flannel до 0.28.2 має уразливість командної ін’єкції в Extension backend, що дозволяє виконувати довільні команди з правами root у Kubernetes кластерах.
CVE-2026-32241CVSS 7.5Containers

CVE-2026-32241: Уразливість командної ін’єкції в Flannel (до версії 0.28.2)

Flannel до 0.28.2 має уразливість командної ін’єкції в Extension backend, що дозволяє виконувати довільні команди з правами root у Kubernetes кластерах.

CVSS
7.5 HIGH
EPSS
84.17%
Активно використовується
немає в KEV
Продукт
flannel

Що відомо

Flannel, мережевий шар для контейнерів Kubernetes, має уразливість командної ін’єкції в експериментальному Extension backend. Зловмисник, який може змінювати анотації вузла Kubernetes, може виконати довільні команди з правами root на всіх вузлах Flannel у кластері.

Бізнес-вплив

Ця уразливість дозволяє атакуючому отримати повний контроль над усіма вузлами Flannel у Kubernetes кластері, що може призвести до компрометації інфраструктури, витоку даних або порушення роботи сервісів. Вплив обмежується кластерами, які використовують Extension backend Flannel; інші бекенди, такі як vxlan і wireguard, не уразливі.

Рекомендовані дії адміністратора

Оновіть Flannel до версії 0.28.2 або новішої, де ця уразливість виправлена. Якщо оновлення наразі неможливе, розгляньте можливість переходу на інший бекенд, наприклад vxlan або wireguard. Перевірте налаштування анотацій Kubernetes Node і обмежте можливість їх зміни лише довіреними користувачами. Відстежуйте логи на предмет підозрілої активності, пов’язаної з анотаціями вузлів.

Джерела