anonhaven

CVE-2026-32828

LOW CVSS 4.0: 2,0 EPSS 0.01%
Обновлено 30 марта 2026
Akuity
Параметр Значение
CVSS 2,0 (LOW)
Уязвимые версии 1.4.0 — 1.9.5
Устранено в версии 1.6.4
Тип уязвимости CWE-918 (Подделка запросов на стороне сервера (SSRF))
Поставщик Akuity
Публичный эксплойт Нет

Kargo управляет и автоматизирует продвижение программных артефактов. В версиях с 1.4.0 по 1.6.3, с 1.7.0-rc.1 по 1.7.8, с 1.8.0-rc.1 по 1.8.11 и с 1.9.0-rc.1 по 1.9.4 этапы продвижения http и http-загрузки допускают подделку запросов на стороне сервера (SSRF) по локальным адресам, что особенно важно для конечной точки метаданных облачного экземпляра. (169.254.169.254), что позволяет получить конфиденциальные данные, например учетные данные IAM. Эти шаги обеспечивают полный контроль над заголовками и методами запросов, что делает меры по снижению риска SSRF на основе заголовков облачных провайдеров неэффективными.

Аутентифицированный злоумышленник с разрешениями на создание/обновление этапов или создание ресурсов продвижения может воспользоваться этим, отправив вредоносный манифест продвижения, данные ответа которого можно получить через поля статуса продвижения, репозитории Git или второй шаг http. Эта проблема исправлена ​​в версиях 1.6.4, 1.7.9, 1.8.12 и 1.9.5.

Показать оригинальное описание (EN)

Kargo manages and automates the promotion of software artifacts. In versions 1.4.0 through 1.6.3, 1.7.0-rc.1 through 1.7.8, 1.8.0-rc.1 through 1.8.11, and 1.9.0-rc.1 through 1.9.4, the http and http-download promotion steps allow Server-Side Request Forgery (SSRF) against link-local addresses, most critically the cloud instance metadata endpoint (169.254.169.254), enabling exfiltration of sensitive data such as IAM credentials. These steps provide full control over request headers and methods, rendering cloud provider header-based SSRF mitigations ineffective. An authenticated attacker with permissions to create/update Stages or craft Promotion resources can exploit this by submitting a malicious Promotion manifest, with response data retrievable via Promotion status fields, Git repositories, or a second http step. This issue has been fixed in versions 1.6.4, 1.7.9, 1.8.12 and 1.9.5.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Высокие
Нужны права администратора
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-918 Server-Side Request Forgery (SSRF) (Подделка запросов на стороне сервера (SSRF))

Уязвимые продукты 4

Конфигурация От (включительно) До (исключительно)
Akuity Kargo
cpe:2.3:a:akuity:kargo:*:*:*:*:*:kubernetes:*:*
 1.4.0 1.6.4
Akuity Kargo
cpe:2.3:a:akuity:kargo:*:*:*:*:*:kubernetes:*:*
 1.7.0 1.7.9
Akuity Kargo
cpe:2.3:a:akuity:kargo:*:*:*:*:*:kubernetes:*:*
 1.8.0 1.8.12
Akuity Kargo
cpe:2.3:a:akuity:kargo:*:*:*:*:*:kubernetes:*:*
 1.9.0 1.9.5

Ссылки 2

https://github.com/akuity/kargo/commit/fd25620c2473ed19bec4be4d0f181287ef0f0391
security-advisories@github.com
https://github.com/akuity/kargo/security/advisories/GHSA-j94x-8wcp-x7hm
security-advisories@github.com
Share Post Share Share Share