以下是该网页截图中关于漏洞的关键信息,以简洁的Markdown格式呈现: --- 漏洞概览 漏洞名称: Arbitrary WASM Code Execution via AnnotationOverrideFlight Injection in Yoke ATC CVE ID: CVE-2026-26056 发布者: davidmdp 发布时间: 去周 严重程度: 高 --- 漏洞描述 在Kubernetes部署工具Yoke的Air Traffic Controller (ATC)组件中存在一个允许通过 注解注入恶意URL的漏洞。 攻击者可以利用此漏洞监控ATC控制器未能验证WASM URL源,创建任意Kubernetes资源或升级到cluster-admin级别。 --- 关键技术细节 Relevant Code Paths: - Source Point: Annotation Definition - Sink Point 1: Admission Webhook - Sink Point 2: Reconciler CVE-94: Improper Control of Generation of Code - Code Injection --- 漏洞影响评估 CVSS v3.1 Score: 8.8 (High) Attack Prerequisites: - 创建或更新ATC管理的Custom Resources - 访问主机的恶意WASM(可以是外部URL) Impact: - 攻击者可以创建资源导出数据,创建或修改资源,中断Kubernetes集群的操作。 --- 解决策略 Mitigation Strategies: 删除或禁用注解处理,限制网络策略,加固RBAC权限,通过网络策略防止下载,部署验证网络 Hook以 Reject CRs with 注解。 --- 参考链接 Yoke 项目: GitHub - yokecd/yoke Yoke ATC 文档: yokecd.github.io/docs/atcc CWE-94