anonhaven

CVE-2026-33343

MEDIUM CVSS 3.1: 6,5 EPSS 0.03%
Обновлено 26 марта 2026
Kubernetes
Параметр Значение
CVSS 6,5 (MEDIUM)
Уязвимые версии 3.5.0 — 3.6.9
Устранено в версии 3.4.42
Тип уязвимости CWE-863 (Неправильная авторизация)
Поставщик Kubernetes
Публичный эксплойт Нет

etcd — это распределенное хранилище значений ключей для данных распределенной системы. До версий 3.4.42, 3.5.28 и 3.6.9 аутентифицированный пользователь с ограниченными разрешениями RBAC для диапазонов ключей может использовать вложенные транзакции для обхода всей авторизации на уровне ключей. Это позволяет любому аутентифицированному пользователю с прямым доступом к etcd эффективно игнорировать все ограничения диапазона ключей, получая доступ ко всему хранилищу данных etcd.

Kubernetes не полагается на встроенную аутентификацию и авторизацию etcd. Вместо этого сервер API сам обрабатывает аутентификацию и авторизацию, поэтому типичные развертывания Kubernetes не затрагиваются. Версии 3.4.42, 3.5.28 и 3.6.9 содержат исправление.

Если обновление невозможно немедленно, уменьшите риск, рассматривая затронутые RPC на практике как неаутентифицированные. Ограничьте сетевой доступ к портам сервера etcd, чтобы только доверенные компоненты могли подключаться, и требовали строгой идентификации клиента на транспортном уровне, например mTLS со строго ограниченным распределением клиентских сертификатов.

Показать оригинальное описание (EN)

etcd is a distributed key-value store for the data of a distributed system. Prior to versions 3.4.42, 3.5.28, and 3.6.9, an authenticated user with RBAC restricted permissions on key ranges can use nested transactions to bypass all key-level authorization. This allows any authenticated user with direct access to etcd to effectively ignore all key range restrictions, accessing the entire etcd data store. Kubernetes does not rely on etcd’s built-in authentication and authorization. Instead, the API server handles authentication and authorization itself, so typical Kubernetes deployments are not affected. Versions 3.4.42, 3.5.28, and 3.6.9 contain a patch. If upgrading is not immediately possible, reduce exposure by treating the affected RPCs as unauthenticated in practice. Restrict network access to etcd server ports so only trusted components can connect and require strong client identity at the transport layer, such as mTLS with tightly scoped client certificate distribution.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-863 Incorrect Authorization (Неправильная авторизация)

Уязвимые продукты 3

Конфигурация От (включительно) До (исключительно)
Etcd Etcd
cpe:2.3:a:etcd:etcd:*:*:*:*:*:*:*:*
 3.4.42
Etcd Etcd
cpe:2.3:a:etcd:etcd:*:*:*:*:*:*:*:*
 3.5.0 3.5.28
Etcd Etcd
cpe:2.3:a:etcd:etcd:*:*:*:*:*:*:*:*
 3.6.0 3.6.9

Ссылки 1

https://github.com/etcd-io/etcd/security/advisories/GHSA-rfx7-8w68-q57q
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-40090

Kubernetes

7,1

CVE-2026-39884

Kubernetes

8,3

CVE-2026-34984

Kubernetes

7,1

CVE-2026-5483

Kubernetes

8,5

CVE-2026-35206

Helm

4,8