The Kyverno AuthorsのPolicy-reporter-uiにおけるクロスサイトスクリプティングの脆弱性
| Title |
The Kyverno AuthorsのPolicy-reporter-uiにおけるクロスサイトスクリプティングの脆弱性
|
| Summary |
Kyvernoはクラウドネイティブプラットフォームエンジニアリングチーム向けに設計されたポリシーエンジンです。2.5.2より前のバージョンでは、Vue 3のv-htmlディレクティブがフレームワークで文書化された生のHTMLを注入するためのメカニズムであり、{{}}補間が提供する自動エスケープを意図的に無効にしていました。PropertyCard.vueコンポーネントはURLチェックのelseブランチでv-htmlを使用しているため、URLではない文字列値が直接DOMにHTMLとして流れ込みます。isURL()ガードはhttp:またはhttps:のURLとして解析される値のみをフィルタリングするため、これらのスキームで始まらない任意のHTMLペイロードを完全に回避できます。このデータはKubernetesのPolicyReportのresults[].propertiesフィールドから取得され、これらはポリシーエンジンおよびクラスタ内のPolicyReportオブジェクトへの書き込みアクセス権を持つ任意の主体によって任意の文字列マップとして設定される可能性があります。この脆弱性は2.5.2で修正されました。
|
| Possible impacts |
当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| Solution |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
May 12, 2026, midnight |
| Registration Date |
May 28, 2026, 2:32 p.m. |
| Last Update |
May 28, 2026, 2:32 p.m. |
|
CVSS3.0 : 警告
|
| Score |
6.1
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Affected System
| The Kyverno Authors |
|
Policy-reporter-ui 2.5.2 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年05月28日]
掲載 |
May 28, 2026, 2:32 p.m. |
NVD Vulnerability Information
CVE-2026-44245
| Summary |
Kyverno is a policy engine designed for cloud native platform engineering teams. Prior to 2.5.2, Vue 3's v-html directive is the framework-documented mechanism for injecting raw HTML, and it intentionally disables the auto-escaping that {{ }} interpolation provides. The PropertyCard.vue component uses v-html for the else branch of the URL check, meaning any non-URL string value flows directly into the DOM as HTML. The isURL() guard only filters values that parse as http: or https: URLs, so any HTML payload not starting with those schemes bypasses it entirely. The data originates from Kubernetes PolicyReport .results[].properties fields, which are arbitrary string maps populated by policy engines and potentially by any principal with write access to PolicyReport objects in the cluster. This vulnerability is fixed in 2.5.2.
|
| Publication Date |
May 13, 2026, 8:16 a.m. |
| Registration Date |
May 15, 2026, 4:19 a.m. |
| Last Update |
May 14, 2026, 3:14 a.m. |
Related information, measures and tools
Common Vulnerabilities List