CRITICAL🇬🇧 English

CVE-2026-32604

RCE w Spinnaker — wykonanie dowolnych poleceń na podach clouddriver

CVSS 9.9v3.1pub. 2026-04-20upd. 2026-04-23

Podatność w platformie Spinnaker (wersje przed 2026.1.0, 2026.0.1, 2025.4.2 i 2025.3.2) umożliwia uwierzytelnionemu użytkownikowi zdalne wykonanie dowolnych poleceń na podach clouddriver. Ze względu na minimalny próg wejścia i krytyczny wpływ na poufność, integralność oraz dostępność, podatność stanowi poważne zagrożenie dla środowisk CI/CD.

Pokaż oryginał (EN)

Spinnaker is an open source, multi-cloud continuous delivery platform. In versions prior to 2026.1.0, 2026.0.1, 2025.4.2, and 2025.3.2, a bad actor can execute arbitrary commands very simply on the clouddriver pods. This can expose credentials, remove files, or inject resources easily. Versions 2026.1.0, 2026.0.1, 2025.4.2, and 2025.3.2 contain a patch. As a workaround, disable the gitrepo artifact types.

🤖 Analiza AI
Jak działa

Podatność wynika z niewystarczającej walidacji danych wejściowych (CWE-20) przy obsłudze artefaktów typu gitrepo. Atakujący posiadający podstawowy dostęp do platformy może spreparować żądanie, które spowoduje wykonanie dowolnych poleceń systemowych bezpośrednio w kontekście podów clouddriver. Mechanizm ten nie wymaga skomplikowanych technik ani podwyższonych uprawnień — wektor ataku jest sieciowy, a złożoność ataku niska.

Skutki

Atakujący może uzyskać dostęp do przechowywanych danych uwierzytelniających (credentials), usuwać pliki systemowe lub wstrzykiwać zasoby do infrastruktury zarządzanej przez Spinnaker. W efekcie możliwe jest pełne przejęcie kontroli nad pipeline'ami ciągłego dostarczania oraz środowiskami chmurowymi.

Mitygacja

Należy zaktualizować Spinnaker do wersji 2026.1.0, 2026.0.1, 2025.4.2 lub 2025.3.2, które zawierają poprawkę. Jako obejście (workaround) do czasu wdrożenia patcha zaleca się wyłączenie obsługi artefaktów typu gitrepo.

Kogo dotyczy

Spinnaker (Linux Foundation) — wszystkie wersje wcześniejsze niż 2026.1.0, 2026.0.1, 2025.4.2 oraz 2025.3.2

Uwagi

Dostępny jest publiczny wpis techniczny opisujący podatność pod adresem https://zeropath.com/blog/spinnaker-rce-production-compromise. Oficjalne security advisory opublikowano na GitHub: GHSA-x3j7-7pgj-h87r.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Linuxfoundation Spinnaker

    APP
    Linuxfoundation
    < 2025.3.22025.4.0 – 2025.4.2 (bez)2026.0.0 – 2026.0.1 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-32613CRITICAL9.9PL ✓ten sam produkt

Spinnaker Echo: nieograniczony dostęp SPeL umożliwia RCE

CVE-2021-43832CRITICAL10.0ten sam produkt

Spinnaker is an open source, multi-cloud continuous delivery platform. Spinnaker has improper permissions allo...

CVE-2025-61916HIGH7.9ten sam produkt

Spinnaker is an open source, multi-cloud continuous delivery platform. Versions prior to 2025.1.6, 2025.2.3, a...

CVE-2020-9301HIGH8.8ten sam produkt

Nolan Ray from Apple Information Security identified a security vulnerability in Spinnaker, all versions prior...

CVE-2023-39348MEDIUM4.0ten sam produkt

Spinnaker is an open source, multi-cloud continuous delivery platform. Log output when updating GitHub status ...

CVE-2026-32604 — RCE w Spinnaker — wykonanie dowolnych poleceń na podach clouddriver — CRITICAL 9.9 | CVEbaza.pl