| Title | tigeraのCalicoにおけるログファイルからの情報漏えいに関する脆弱性 |
|---|---|
| Summary | CalicoがAzure IPAMプラグインと構成されている場合、Calico CNIバイナリはIPAMプラグインに委譲する前に着信CNI構成を変更し、サブネット情報を付加します。変更後、Azure IPAMヘルパーはすべてのCNI ADDおよびDEL呼び出し時に(ノード上でスケジュールまたは終了した各ポッドごとに一度)、アンマーシャルされた構成マップ(stdinData)全体をINFOレベルで/var/log/calico/cni/cni.logにログ記録します。クラスターがトークンベースのKubernetes認証でデプロイされている場合、このログエントリにはServiceAccountトークン、クライアントキー、および証明書認証局がプレーンテキストで含まれます。ノードの/var/log/calico/cni/cni.logへの読み取り権限を持つ任意の主体はこれらのログを読み取り、クラスタ全体のCalicoネットワーキング管理者権限を付与するための資格情報を抽出できます。 |
| Possible impacts | ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアは停止しません。 |
| Solution | ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | May 28, 2026, midnight |
| Registration Date | June 8, 2026, 12:28 p.m. |
| Last Update | June 8, 2026, 12:28 p.m. |
| CVSS3.0 : 警告 | |
| Score | 6.5 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
| tigera |
| Calico 22.4.0 未満 |
| Calico 3.21.7 未満 |
| Calico 3.22.0 以上 3.22.3 未満 |
| Calico 3.32.0 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年06月08日] 掲載 |
June 8, 2026, 12:28 p.m. |
| Summary | When Calico is configured with the Azure IPAM plugin, the Calico CNI binary mutates the incoming CNI configuration to attach subnet information before delegating to the IPAM plugin. After mutating, the Azure IPAM helper logs the entire unmarshaled configuration map (stdinData) at INFO level to /var/log/calico/cni/cni.log on every CNI ADD and DEL invocation — once per pod scheduled or terminated on the node. When the cluster is deployed using token-based Kubernetes authentication, this log entry contains the ServiceAccount token, client key, and certificate authority in plaintext. Any principal with read access to /var/log/calico/cni/cni.log on a node can read these logs and extract the credentials, which grant cluster-wide Calico networking admin privileges. |
|---|---|
| Publication Date | May 29, 2026, 2:16 a.m. |
| Registration Date | May 29, 2026, 4:15 a.m. |
| Last Update | May 29, 2026, 3:55 a.m. |