Multicluster Engine For Kubernetes
Vulnerabilities
21
Known exploited
0
Max CVSS
9.8
Top EPSS
0.00158
Severity breakdown
Critical
2
High
12
Medium
5
Low
2
Also matched as (raw): multicluster engine for kubernetes,multicluster_engine_for_kubernetes
Top vulnerabilities
BDU:2026-07149Уязвимость программного средства сборки контейнеров BuildKit связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации
BDU:2023-03471Уязвимость языка программирования Go связана с ошибками при обработке пробельных символов в контексте JavaScript. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
BDU:2026-03452Уязвимость HTTP библиотеки Urllib3 языка программирования Python связана с некорректной обработкой сильно сжатых входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
BDU:2025-10843Уязвимость пакетного менеджера для Kubernetes Helm связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код с помощью специально созданного файла
BDU:2026-07331Уязвимость пакета crypto/x509 языка программирования Go связана с ошибками процедуры подтверждения подлинности сертификата. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить атаки типа "человек посередине"
BDU:2025-02918Уязвимость компонента Hive программного обеспечения управления кластерами Kubernetes Multicluster Engine (MCE) и Advanced Cluster Management (ACM) связана с незащищённым хранением конфиденциальной информации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к учетным данным VCenter путем отправки специально сформированных запросов к прикладному программному интерфейсу Kubernetes
BDU:2026-07864Уязвимость системы плагинов Docker программного средства для создания систем контейнерной изоляции Moby (Docker Engine) связана с ошибкой единичного смещения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность и целостность защищаемой информации
BDU:2026-07254Уязвимость компонента crypto-x509 языка программирования Go связана с неограниченным распределением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
BDU:2026-07251Уязвимость языка программирования Go связана с ошибками процедуры подтверждения подлинности сертификата. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
BDU:2026-07210Уязвимость программного средства сборки контейнеров BuildKit связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации
BDU:2026-04782Уязвимость функции Delete() языка программирования Go связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
BDU:2026-02927Уязвимость HTTP библиотеки для Python Urllib3 связана с выделением неограниченной памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
BDU:2024-09427Уязвимость библиотеки braces связана с неконтролируемым потреблением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
BDU:2023-03470Уязвимость языка программирования Go связана с ошибками при обработке специальных символов "<>" в контексте CSS. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
BDU:2024-11295Уязвимость программного средства для создания систем контейнерной изоляции Moby связана с разыменованием нулевого указателя. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
BDU:2024-02610Уязвимость модуля Node.js follow-redirects связана с недостаточной защитой служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации
CVE-2026-7163A vulnerability in the assisted-service REST API, an optional Assisted Installer (assisted-service) component in the Multicluster Engine (MCE), allows an authenticated user with minimal namespace-scoped privileges to obtain administrative credentials for arbitrary clusters provisioned through the hub.
The credentials download endpoint (GET /v2/clusters/{cluster_id}/credentials, which returns the kubeadmin password) and the kubeconfig download endpoint are operational in AUTH_TYPE=local mode, the only authentication mode available in on-premises ACM/MCE hub deployments. The local authenticator unconditionally grants full administrative access to any request bearing a valid JWT, with no per-endpoint restrictions. A valid local JWT is embedded as a plaintext query parameter in InfraEnvStatus.ISODownloadURL and is readable by any user who has get rights on an InfraEnv object in their own namespace.
The affected components ship as part of Multicluster Engine (MCE). The Red Hat Advanced Cluster Management (ACM) deployments that include MCE are equally affected.
This issue does not affect the hosted SaaS offering (console.redhat.com), which uses a different authentication mode.
Successful exploitation gives the attacker the kubeadmin password and kubeconfig for any OpenShift cluster provisioned through the affected hub, granting unrestricted root-level administrative access to those spoke clusters.
BDU:2026-07247Уязвимость языка программирования Go связана с неограниченным распределением ресурсов. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании
BDU:2026-05686Уязвимость пакета golang-x-net языка программирования Golang связана с выполнением цикла с недоступным условием выхода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
BDU:2025-09312Уязвимость демона firewalld программного средства для создания систем контейнерной изоляции Moby связана с некорректной инициализацией ресурса. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2024-02373Уязвимость функции ticket_age_add языка программирования Go связана с использованием недостаточно случайных значений. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, нарушителю получить несанкционированный доступ к идентификаторам сеанса