CRITICAL🇬🇧 English

CVE-2026-6388

ArgoCD Image Updater — cross-namespace privilege escalation w środowisku multi-tenant

CVSS 9.1v3.1pub. 2026-04-15upd. 2026-06-30

Podatność w ArgoCD Image Updater umożliwia atakującemu posiadającemu uprawnienia do tworzenia lub modyfikowania zasobów ImageUpdater obejście granic przestrzeni nazw (namespace) w środowisku wielodostępnym. Skutkiem jest nieautoryzowane aktualizowanie obrazów aplikacji należących do innych najemców (tenantów), co zagraża integralności tych aplikacji.

Pokaż oryginał (EN)

A flaw was found in ArgoCD Image Updater. This vulnerability allows an attacker, with permissions to create or modify an ImageUpdater resource in a multi-tenant environment, to bypass namespace boundaries. By exploiting insufficient validation, the attacker can trigger unauthorized image updates on applications managed by other tenants. This leads to cross-namespace privilege escalation, impacting application integrity through unauthorized application updates.

🤖 Analiza AI
Jak działa

Błąd wynika z niewystarczającej walidacji zasobów ImageUpdater (CWE-1220 — Insufficient Granularity of Access Control). Atakujący z uprawnieniami do tworzenia lub modyfikowania takich zasobów we własnej przestrzeni nazw może skonstruować złośliwy zasób, który wywołuje aktualizacje obrazów w przestrzeniach nazw innych najemców. Mechanizm izolacji pomiędzy tenantami nie jest egzekwowany w sposób wystarczający, co pozwala na privilege escalation poza przydzielony zakres uprawnień. W efekcie atakujący uzyskuje możliwość wpływania na cykl życia aplikacji zarządzanych przez innych użytkowników klastra.

Skutki

Atakujący może wymuszać nieautoryzowane aktualizacje obrazów kontenerów w aplikacjach innych najemców, naruszając integralność tych aplikacji oraz potencjalnie wstrzykując złośliwy obraz do produkcyjnego środowiska. Jest to cross-namespace privilege escalation z wpływem na poufność, integralność i dostępność aplikacji współdzielących klaster.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (Red Hat: https://access.redhat.com/security/cve/CVE-2026-6388). Do czasu zastosowania poprawki zaleca się ograniczenie uprawnień do tworzenia i modyfikowania zasobów ImageUpdater wyłącznie do zaufanych użytkowników oraz monitorowanie nieoczekiwanych aktualizacji obrazów w środowisku klastra.

Kogo dotyczy

ArgoCD Image Updater wdrożony w środowiskach multi-tenant — wersje wskazane w referencjach producenta

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:H/A:L
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
LPE
CWE
Referencje