Vulnerabilidad en Yoke de yokecd (CVE-2026-26055)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-306 Ausencia de autenticación para una función crítica

Fecha de publicación:

12/02/2026

Última modificación:

13/02/2026

Descripción

Yoke es un desplegador de paquetes de infraestructura como código (IaC) inspirado en Helm. En la versión 0.19.0 y anteriores, existe una vulnerabilidad en el componente Air Traffic Controller (ATC) de Yoke. Los puntos finales del webhook de ATC carecen de mecanismos de autenticación adecuados, lo que permite que cualquier pod dentro de la red del clúster envíe directamente solicitudes de AdmissionReview al webhook, eludiendo la autenticación del Kubernetes API Server. Esto permite a los atacantes activar la ejecución de módulos WASM en el contexto del controlador ATC sin la autorización adecuada.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Referencias a soluciones, herramientas e información

https://github.com/yokecd/yoke/security/advisories/GHSA-965m-v4cc-6334