漏洞概述 漏洞编号: Bug 2499647 (CVE-2026-15584) 标题: Red Hat Insights inCluster-checks: inCluster-checks: Privileged host-checkout debug pods created in shared default namespace enable privilege escalation to node root 状态: NEW 产品: Security Response 组件: vulnerability 版本: unspecified 硬件: All 操作系统: Linux 优先级: high 严重性: high 目标里程碑: Product Security 报告时间: 2026-07-13 11:48:03 UTC by OSIDB Bzimport 修改时间: 2026-07-13 11:59:03 UTC (history) 影响范围 描述: inCluster-checks Python CLI 工具在 OpenShift 集群的每个节点上创建特权调试 pod,使用 。这些 pod 以 hostPID、hostNetwork、特权安全上下文运行,并挂载主机根文件系统到 ,然后执行 。 命名空间: 这些 pod 默认在 命名空间中创建。 命名空间在 OpenShift 中是共享且广泛可访问的,任何具有标准 ClusterRole(最常见的开发者角色)的用户都有 权限。CIS Kubernetes Benchmark 5.7.4 明确警告不要在 命名空间中运行工作负载,因为 RBAC 是广泛范围的。 风险: 在检查运行期间(或在最多 4 小时的孤儿窗口中,如果清理被中断),任何具有 访问权限的集群用户都可以 进入这些特权 pod 并获得每个集群节点的 root 访问权限。不需要额外的漏洞或异常访问级别。 修复方案 建议: 创建一个专用的命名空间清单,标记为 PodSecurity 强制执行,添加一个默认拒绝的 NetworkPolicy,通过 RBAC 限制 pod/exec 到调用 ServiceAccount,并拒绝在 命名空间中运行。 受影响文件: 链接: GitHub 链接 POC 代码