Pubblicato il 2026-07-10 · Fonte: NVD NIST
La piattaforma di delivery continua open source Spinnaker presenta una vulnerabilità dovuta all'elaborazione non sicura di YAML. Ciò consente di bypassare la deserializzazione sicura quando si utilizzano deploy di CloudFormation o baking di CloudFoundry. La vulnerabilità, identificata come CVE-2026-44795, può essere sfruttata per esecuzione di codice remoto a causa dell'utilizzo di un costruttore non sicuro che permette il caricamento arbitrario di classi Java. La versione interessata è antecedente a 2026.1.0, 2026.0.3, 2025.4.4 e 2025.3.3.
Un attaccante può sfruttare questa vulnerabilità per eseguire codice remoto sul sistema, potenzialmente portando a un controllo completo del sistema. I sistemi a rischio sono quelli che utilizzano Spinnaker per la delivery continua e che non hanno ancora applicato le patch di sicurezza necessarie.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare Spinnaker alle versioni 2026.1.0, 2026.0.3, 2025.4.4 o 2025.3.3. In assenza di un aggiornamento immediato, è importante monitorare attentamente i log di sistema e implementare controlli di sicurezza aggiuntivi per prevenire abusi.
La vulnerabilità CVE-2026-44795 è una vulnerabilità in Spinnaker che consente l'esecuzione di codice remoto a causa dell'elaborazione non sicura di YAML.
Il CVSS Score della vulnerabilità CVE-2026-44795 è 8.8, classificandola come alta.
Per proteggersi, è necessario aggiornare Spinnaker alle versioni 2026.1.0, 2026.0.3, 2025.4.4 o 2025.3.3 e implementare controlli di sicurezza aggiuntivi.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.