Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Kargo (CVE-2026-27111)

Gravedad CVSS v4.0:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
20/02/2026
Última modificación:
25/02/2026

Descripción

Kargo gestiona y automatiza la promoción de artefactos de software. Desde la v1.9.0 hasta la v1.9.2, el modelo de autorización de Kargo incluye un verbo 'promote' -- un "verbo 'dolphin'" no estándar de Kubernetes -- que restringe la capacidad de avanzar Freight a través de una tubería de promoción. Este verbo existe para separar la capacidad de gestionar recursos relacionados con la promoción de la capacidad de activar promociones, permitiendo un control de acceso granular sobre lo que a menudo es una operación sensible. El verbo 'promote' se aplica correctamente en la API gRPC heredada de Kargo. Sin embargo, tres puntos finales en la API REST más reciente omiten esta verificación, confiando solo en el RBAC estándar de Kubernetes para las operaciones de recursos subyacentes (parche en freights/status o creación en promotions). Esto permite a los usuarios que poseen esos permisos estándar -- pero a quienes deliberadamente no se les concedió 'promote' -- eludir el límite de autorización previsto. Los puntos finales afectados son /v1beta1/projects/{project}/freight/{freight}/approve, /v1beta1/projects/{project}/stages/{stage}/promotions, y /v1beta1/projects/{project}/stages/{stage}/promotions/downstream. Esta vulnerabilidad se corrige en la v1.9.3.

Impacto

Vector 4.0
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:L/VA:N/SC:N/SI:L/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:L/VA:N/SC:N/SI:L/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Ninguno
Integrity (VI): Bajo
Availability (VA): Ninguno
Confidentiality (SC): Ninguno
Integrity (SI): Bajo
Availability (SA): Ninguno

Puntuación base 4.0
5.30
Gravedad 4.0
MEDIA
Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.00 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
5.00
Gravedad 3.x
MEDIA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:akuity:kargo:*:*:*:*:*:kubernetes:*:* 1.9.0 (incluyendo) 1.9.3 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información