云原生安全··0 分钟
Kyverno 的 apiCall 不是只读查询:从 CVE-2026-22039 看 admission controller 的隐性授权边界
CVE-2026-22039 暴露了 Kyverno 策略引擎的一个根本性设计盲区:namespaced Policy 的 apiCall 使用 admission controller 自身的 ServiceAccount 执行 API 请求,且未限制命名空间范围。本文从根因分析、补丁盲区到 confused deputy,拆解 admission controller 的隐性授权边界问题。
#Kubernetes#Kyverno#准入控制