| Title | レッドハットのmulticluster engine for Kubernetesにおける重要な情報の平文保存に関する脆弱性 |
|---|---|
| Summary | Multicluster Engine (MCE) のオプションコンポーネントである Assisted Installer (assisted-service) の REST API に脆弱性があります。最小限の名前空間スコープ権限を持つ認証済みユーザーが、ハブを通じてプロビジョニングされた任意のクラスターの管理者資格情報を取得可能です。認証タイプが AUTH_TYPE=local モード(オンプレミスの ACM/MCE ハブ展開で唯一利用可能な認証モード)の場合、認証情報ダウンロードエンドポイント(GET /v2/clusters/{cluster_id}/credentials、kubeadmin パスワードを返します)および kubeconfig ダウンロードエンドポイントが機能しています。ローカル認証機構は、有効な JWT を持つリクエストに対して無条件に完全な管理者アクセスを付与しており、エンドポイントごとの制限はありません。有効なローカル JWT は InfraEnvStatus.ISODownloadURL の平文クエリパラメータに埋め込まれており、自身の名前空間内の InfraEnv オブジェクトに対して get 権限を持つユーザーは誰でも読み取れます。影響を受けるコンポーネントは Multicluster Engine (MCE) の一部として提供されており、MCE を含む Red Hat Advanced Cluster Management (ACM) 展開も同様に影響を受けます。本問題は、異なる認証モードを使用するホスト型 SaaS サービス(console.redhat.com)には影響しません。攻撃が成功すると、攻撃者は kubeadmin パスワードおよび kubeconfig を入手でき、該当ハブを通じてプロビジョニングされた任意の OpenShift クラスターに対して無制限かつルートレベルの管理アクセスを行えます。 |
| Possible impacts | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | April 30, 2026, midnight |
| Registration Date | May 7, 2026, 11:29 a.m. |
| Last Update | May 7, 2026, 11:29 a.m. |
| CVSS3.0 : 警告 | |
| Score | 5.5 |
|---|---|
| Vector | CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
| レッドハット |
| multicluster engine for Kubernetes 2.1 |
| multicluster engine for Kubernetes 2.7 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年05月07日] 掲載 |
May 7, 2026, 11:29 a.m. |
| Summary | A vulnerability in the assisted-service REST API, an optional Assisted Installer (assisted-service) component in the Multicluster Engine (MCE), allows an authenticated user with minimal namespace-scoped privileges to obtain administrative credentials for arbitrary clusters provisioned through the hub. The credentials download endpoint (GET /v2/clusters/{cluster_id}/credentials, which returns the kubeadmin password) and the kubeconfig download endpoint are operational in AUTH_TYPE=local mode, the only authentication mode available in on-premises ACM/MCE hub deployments. The local authenticator unconditionally grants full administrative access to any request bearing a valid JWT, with no per-endpoint restrictions. A valid local JWT is embedded as a plaintext query parameter in InfraEnvStatus.ISODownloadURL and is readable by any user who has get rights on an InfraEnv object in their own namespace. The affected components ship as part of Multicluster Engine (MCE). The Red Hat Advanced Cluster Management (ACM) deployments that include MCE are equally affected. Successful exploitation gives the attacker the kubeadmin password and kubeconfig for any OpenShift cluster provisioned through the affected hub, granting unrestricted root-level administrative access to those spoke clusters. |
|---|---|
| Publication Date | April 30, 2026, 11:16 p.m. |
| Registration Date | May 1, 2026, 4:07 a.m. |
| Last Update | May 5, 2026, 11:57 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:redhat:multicluster_engine_for_kubernetes:2.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:redhat:multicluster_engine_for_kubernetes:2.7:*:*:*:*:*:*:* | |||||