Kubernetes秘密管理工具External Secrets Operator爆重大漏洞,恐跨命名空間外洩身分憑證
漏洞細節與風險
在特定條件下,攻擊者可能繞過原有的命名空間隔離機制,存取不屬於自身命名空間的Kubernetes Secret。該漏洞已被編號為CVE-2026-22822,CVSS風險分數達9.3分,屬於重大(Critical)等級漏洞。
技術影響與安全風險
此漏洞暴露了Kubernetes生態系中外部密鑰管理工具的設計缺陷,特別是External Secrets Operator(ESO)在處理命名空間隔離時的範圍控制問題,可能導致跨命名空間的身分憑證外洩,進而影響多租戶環境下的資料安全。
相關建議與最佳實踐
- 建議使用者立即評估目前部署的External Secrets Operator版本,並確認是否為受影響版本。
- 應加強對Kubernetes命名空間的權限管理,並啟用更嚴格的資源訪問控制機制。
- 考慮採用短效期的動態憑證,降低憑證暴露風險。
- 建議定期監控與審計Kubernetes集群中的Secret存取行為,以偵測異常活動。