Kcp
Уязвимости
2
Эксплуатируемые
0
Макс. CVSS
9.6
Макс. EPSS
0.00436
Распределение по критичности
Критический
2
Высокий
0
Средний
0
Низкий
0
Затронутые диапазоны версий
< 0.26.3< 0.29.3
Также сопоставлено как (исходные строки): kcp
Топ уязвимостей
CVE-2025-29922kcp — это контрольная плоскость, похожая на Kubernetes, для форм-факторов и вариантов использования, выходящих за рамки Kubernetes и контейнерных нагрузок. До версии 0.26.3 была идентифицирована уязвимость, позволяющая создавать или удалять объект через APIExport VirtualWorkspace в любом произвольном целевом рабочем пространстве для существующих ресурсов. По замыслу это должно быть разрешено только в том случае, если владелец рабочего пространства решит предоставить доступ к API-поставщику, создав APIBinding. С этой уязвимостью злоумышленник может создавать и удалять объекты, даже если ни одно из этих требований не выполнено, т.е. даже если в этом рабочем пространстве нет APIBinding или владелец рабочего пространства создал APIBinding, но отклонил запрос на разрешение. Исправление для этой проблемы было определено и опубликовано с kcp 0.26.3 и 0.27.0.
CVE-2026-39429kcp - это планарий управления, подобный Kubernetes, для форм-факторов и вариантов использования за пределами Kubernetes и рабочих нагрузок контейнеров. До 0.30.3 и 0.29.3 сервер кэша непосредственно подвергается воздействию корневого осколка и не имеет аутентификации или авторизации. Это позволяет любому, кто может получить доступ к осколка корня, читать и писать на сервер кэша. Эта уязвимость зафиксирована в 0.30.3 и 0.29.3.