製品・ソフトウェアに関する情報

JVN脆弱性詳細

The Kyverno AuthorsのKyvernoにおける不正な認証に関する脆弱性

Title	The Kyverno AuthorsのKyvernoにおける不正な認証に関する脆弱性
Summary	Kyvernoはクラウドネイティブプラットフォームエンジニアリングチーム向けに設計されたポリシーエンジンであり、特定のフィールド検証の欠如により複数のネームスペースにアクセスできてしまう脆弱性があります。この脆弱性により、マルチテナント環境におけるRBACを回避することが可能になります。修正はバージョン1.17.2で提供されています。
Possible impacts	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う情報について、書き換えは発生しません。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	April 24, 2026, midnight
Registration Date	April 30, 2026, 12:27 p.m.
Last Update	April 30, 2026, 12:27 p.m.

Affected System

The Kyverno Authors

Kyverno 1.17.2 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-41068	https://www.cve.org/CVERecord?id=CVE-2026-41068
National Vulnerability Database (NVD)
2	CVE-2026-41068	https://nvd.nist.gov/vuln/detail/CVE-2026-41068

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-863	https://cwe.mitre.org/data/definitions/863.html

ベンダー情報

No	Name	URL
GitHub
1	Cross-Namespace Read Bypasses RBAC Isolation (CVE-2026-22039 Incomplete Fix) Advisory kyverno/kyverno GitHub	https://github.com/kyverno/kyverno/security/advisories/GHSA-cvq5-hhx3-f99p

その他

No	Name	URL
関連文書
1	restrict configmap access for namespaced policies (#15850) kyverno/kyverno@bbf3e5c GitHub	https://github.com/kyverno/kyverno/commit/bbf3e5c01391d612968440659028ae98e565a777

Change Log

No	Changed Details	Date of change
1	[2026年04月30日] 掲載	April 30, 2026, 12:27 p.m.

NVD Vulnerability Information

CVE-2026-41068

Summary	Kyverno is a policy engine designed for cloud native platform engineering teams. The patch for CVE-2026-22039 fixed cross-namespace privilege escalation in Kyverno's `apiCall` context by validating the `URLPath` field. However, the ConfigMap context loader has the identical vulnerability — the `configMap.namespace` field accepts any namespace with zero validation, allowing a namespace admin to read ConfigMaps from any namespace using Kyverno's privileged service account. This is a complete RBAC bypass in multi-tenant Kubernetes clusters. An updated fix is available in version 1.17.2.
Publication Date	April 24, 2026, 1:16 p.m.
Registration Date	April 25, 2026, 4:07 a.m.
Last Update	April 28, 2026, 2:48 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:kyverno:kyverno::-::::::*					1.17.2

Related information, measures and tools

No	URL	refsource
1	https://github.com/kyverno/kyverno/commit/bbf3e5c01391d612968440659028ae98e565a777	security-advisories@github.com
2	https://github.com/kyverno/kyverno/security/advisories/GHSA-cvq5-hhx3-f99p	security-advisories@github.com
3	https://github.com/kyverno/kyverno/security/advisories/GHSA-cvq5-hhx3-f99p	134c704f-9b21-4f2e-91b3-4a467353bcc0

Common Vulnerabilities List