Spinnaker
Уязвимости
8
Эксплуатируемые
0
Макс. CVSS
9.9
Макс. EPSS
0.0257
Распределение по критичности
Критический
3
Высокий
3
Средний
2
Низкий
0
Затронутые диапазоны версий
< 1.21.5< 1.24.7< 1.25.8< 1.27.3< 1.28.8< 2025.1.6< 2025.3.2
Также сопоставлено как (исходные строки): spinnaker
Топ уязвимостей
CVE-2026-32613Spinnaker - это платформа непрерывной доставки с открытым исходным кодом с несколькими облаком. Echo, как и некоторые другие сервисы, использует SPeL (Spring Expression Language) для обработки информации - в частности, вокруг ожидаемых артефактов. В версиях до 2026.1.0, 2026.0.1, 2025.4.2 и 2025.3.2, в отличие от косаток, он НЕ ограничивал этот контекст набором доверенных классов, но позволял ПОЛНЫЙ доступ к JVM. Это позволило пользователю использовать произвольные классы Java, которые обеспечивают глубокий доступ к системе. Это позволило вызвать команды, доступ к файлам и т.д. Версии 2026.1.0, 2026.0.1, 2025.4.2 и 2025.3.2 содержат патч. Как обходной ход, отключите эхо полностью.
CVE-2026-32604Spinnaker - это платформа непрерывной доставки с открытым исходным кодом с несколькими облаками. В версиях до 2026.1.0, 2026.0.1, 2025.4.2 и 2025.3.2 плохой актер может выполнять произвольные команды очень просто на капсулах clouddriver. Это может легко выявить учетные данные, удалить файлы или легко вводить ресурсы. Версии 2026.1.0, 2026.0.1, 2025.4.2 и 2025.3.2 содержат патч. В качестве обходного пути отключают типы артефактов гитрепо.
CVE-2021-43832Spinnaker - это платформа непрерывной доставки с открытым исходным кодом для нескольких облаков. Spinnaker имеет неправильные разрешения, позволяющие создавать и выполнять конвейеры. Это позволяет любому пользователю, имеющему доступ к конечной точке шлюза, создавать конвейер и выполнять его без аутентификации. Если пользователи не настроили контроль доступа на основе ролей (RBAC) в spinnaker, это позволяет удаленно выполнять и получать доступ к развертыванию почти любых ресурсов в любой учетной записи. Патчи доступны в последних выпусках поддерживаемых веток, и пользователям рекомендуется обновиться как можно скорее. Пользователи, не имеющие возможности обновиться, должны включить RBAC для ВСЕХ учетных записей и приложений. Это снижает возможность конвейера влиять на какие-либо учетные записи. Заблокируйте доступ к приложениям, если не включены разрешения. Пользователи должны убедиться, что создание ВСЕХ приложений ограничено с помощью соответствующих подстановочных знаков.
CVE-2020-9301Нолан Рэй из Apple Information Security обнаружил уязвимость безопасности в Spinnaker, все версии до версии 1.23.4, 1.22.4 или 1.21.5. Уязвимость существует в обработке выражений SpEL, что позволяет злоумышленнику читать и записывать произвольные файлы в контейнере orca через аутентифицированные HTTP POST-запросы.
CVE-2022-23506Spinnaker — это платформа непрерывной доставки с открытым исходным кодом для нескольких облаков для выпуска изменений программного обеспечения, а микросервис Rosco Spinnaker создает образы машин. Rosco до версий 1.29.2, 1.28.4 и 1.27.3 не маскирует должным образом секреты, созданные с помощью сборок packer. Это может привести к раскрытию конфиденциальных учетных данных AWS в файлах журналов packer. Версии Rosco 1.29.2, 1.28.4 и 1.27.3 содержат исправления для этой проблемы.
Доступно обходное решение. Рекомендуется использовать кратковременные учетные данные через принятие роли и профили IAM. Кроме того, учетные данные можно установить в `/home/spinnaker/.aws/credentials` и `/home/spinnaker/.aws/config` в качестве монтирования тома для модулей Rosco, а не устанавливать учетные данные в свойствах конфигурации выпечки roscos. Наконец, даже с учетом этого рекомендуется использовать роли IAM вместо долгосрочных учетных данных. Это значительно снижает риск раскрытия учетных данных. Если пользователи использовали статические учетные данные, рекомендуется удалить все журналы выпечки для AWS, оценить, были ли внесены AWS_ACCESS_KEY, SECRET_KEY и/или другие конфиденциальные данные в файлы журналов и журналы заданий выпечки. Затем смените эти учетные данные и оцените возможность неправильного использования этих учетных данных.
CVE-2021-39143Spinnaker - это платформа непрерывной доставки с открытым исходным кодом, поддерживающая работу в нескольких облаках. В AppEngine была обнаружена уязвимость обхода пути при использовании TAR-файлов для развертываний. При этом используется утилита для локального извлечения файлов для развертывания без проверки того, что пути в этом развертывании не переопределяют системные файлы. Это позволит злоумышленнику переопределить файлы в контейнере, ПОТЕНЦИАЛЬНО внедряя вектор атаки типа MITM путем замены библиотек или внедрения файлов-оберток. Пользователям рекомендуется как можно скорее обновиться. Пользователям, не имеющим возможности обновиться, следует отключить развертывания Google AppEngine и/или отключить артефакты, предоставляющие TAR-файлы.
CVE-2025-61916Spinnaker - это платформа непрерывной доставки с открытым исходным кодом с несколькими облаками. Версии до 2025.1.6, 2025.2.3 и 2025.3.0 уязвимы для подделки запросов на стороне сервера. Основное влияние позволяет пользователям получать данные с удаленного URL. Эти данные могут быть затем введены в трубопроводы спиннакера с помощью штурга или других методов для извлечения таких вещей, как данные аутентификации idmsv1. Это также включает в себя вызов внутренних Spinnaker API через get и аналогичные конечные точки. Кроме того, в зависимости от рассматриваемого артефакта, данные могут подвергаться воздействию произвольных конечных точек (например, GitHub auth headers), что приводит к воздействию учетных данных. Чтобы вызвать это, установка спиннакера ДОЛЖНА иметь две вещи. Первый - это включенный артефакт, который позволяет вводить пользователя. Это включает в себя артефакты файлов GitHub, BitBucket, GitLab, HTTP-артефакты и аналогичные поставщики артефактов. JUST, позволяющий поставщику артефактов http добавить «no-ath» http-провайдер, который может быть использован для извлечения локальных данных ссылки (например. Информация о метаданных AWS). Вторая — система, которая может потреблять выход этих артефактов, например. Роско Херм может использовать это для получения данных о значениях. Учетная запись K8-й проявляет, если API возвращает JSON, может быть использован для впрыскивания этих данных в сам трубопровод, хотя трубопровод выйдет из строя. Эта уязвимость зафиксирована в версиях 2025.1.6, 2025.2.3 и 2025.3.0. В качестве обходного процесса отключите типы учетных записей HTTP, которые позволяют пользователю вводить заданный URL. Это, вероятно, не осуществимо в большинстве случаев. Git, Docker и другие типы учетных записей артефактов с явными конфигурациями URL-адресов обходят это ограничение и должны быть безопасными, поскольку они ограничивают загрузку URL-адреса артефактов. В качестве альтернативы, используйте одного из различных поставщиков, которые предоставляют политики OPA, чтобы ограничить доступ к трубопроводам или сохранить трубопровод с недействительными URL-адресами.
CVE-2023-39348Spinnaker — это платформа непрерывной доставки с открытым исходным кодом, предназначенная для работы с несколькими облаками. Вывод журнала при обновлении статуса GitHub всегда неправильно установлен на FULL. Рекомендуется применить исправление и сменить токен GitHub, используемый для уведомлений о статусе github. Учитывая, что это приведет к выводу токенов github в систему ведения журнала, риск немного выше, чем "низкий", поскольку раскрытие токена может предоставить повышенный доступ к репозиториям, находящимся вне контроля. Если используются токены с ограниченным доступом READ, раскрытие таково, что сам токен можно использовать для доступа к ресурсам, которые в противном случае были бы ограничены для чтения. Это относится только к пользователям уведомлений о статусе GitHub. Эта проблема была решена в pull request 1316. Пользователям рекомендуется обновиться. Пользователям, которые не могут обновиться, следует отключить уведомления о статусе GH, отфильтровать свои журналы на наличие данных журнала Echo и использовать токены только для чтения, ограниченные по объему.