| タイトル | The Kyverno AuthorsのPolicy-reporter-uiにおけるクロスサイトスクリプティングの脆弱性 |
|---|---|
| 概要 | Kyvernoはクラウドネイティブプラットフォームエンジニアリングチーム向けに設計されたポリシーエンジンです。2.5.2より前のバージョンでは、Vue 3のv-htmlディレクティブがフレームワークで文書化された生のHTMLを注入するためのメカニズムであり、{{}}補間が提供する自動エスケープを意図的に無効にしていました。PropertyCard.vueコンポーネントはURLチェックのelseブランチでv-htmlを使用しているため、URLではない文字列値が直接DOMにHTMLとして流れ込みます。isURL()ガードはhttp:またはhttps:のURLとして解析される値のみをフィルタリングするため、これらのスキームで始まらない任意のHTMLペイロードを完全に回避できます。このデータはKubernetesのPolicyReportのresults[].propertiesフィールドから取得され、これらはポリシーエンジンおよびクラスタ内のPolicyReportオブジェクトへの書き込みアクセス権を持つ任意の主体によって任意の文字列マップとして設定される可能性があります。この脆弱性は2.5.2で修正されました。 |
| 想定される影響 | 当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年5月12日0:00 |
| 登録日 | 2026年5月28日14:32 |
| 最終更新日 | 2026年5月28日14:32 |
| CVSS3.0 : 警告 | |
| スコア | 6.1 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
| The Kyverno Authors |
| Policy-reporter-ui 2.5.2 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年05月28日] 掲載 |
2026年5月28日14:32 |
| 概要 | Kyverno is a policy engine designed for cloud native platform engineering teams. Prior to 2.5.2, Vue 3's v-html directive is the framework-documented mechanism for injecting raw HTML, and it intentionally disables the auto-escaping that {{ }} interpolation provides. The PropertyCard.vue component uses v-html for the else branch of the URL check, meaning any non-URL string value flows directly into the DOM as HTML. The isURL() guard only filters values that parse as http: or https: URLs, so any HTML payload not starting with those schemes bypasses it entirely. The data originates from Kubernetes PolicyReport .results[].properties fields, which are arbitrary string maps populated by policy engines and potentially by any principal with write access to PolicyReport objects in the cluster. This vulnerability is fixed in 2.5.2. |
|---|---|
| 公表日 | 2026年5月13日8:16 |
| 登録日 | 2026年5月15日4:19 |
| 最終更新日 | 2026年5月14日3:14 |