CVE-2026-22872
Kritisk

CVE-2026-22872: Kritisk fejl i Capsule Kubernetes

Kritisk fejl i Kubernetes-værktøjet Capsule lader lejere oprette ressourcer med admin-rettigheder og overtage hele klyngen.

CVSS Score
9.1
Offentliggjort
01/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdater inden for 7 dage

Hvad er det?

Capsule er et open source-værktøj til Kubernetes (et system til at køre og styre containerbaserede applikationer). Capsule gør det muligt at dele én Kubernetes-klynge op i isolerede ‘lejemål’ (tenants), så forskellige teams eller kunder ikke kan se eller påvirke hinanden. En fejl i versioner før 0.13.0 betyder, at en bruger med lejerejer-rettigheder (Tenant Owner) kan misbruge Capsule-controllerens administrative adgang til at oprette ressourcer på klyngeniveau — ressourcer vedkommende normalt slet ikke har lov at røre. Det er en klassisk privilege escalation-fejl: man starter med begrænsede rettigheder og slutter med fuld kontrol.

Hvem rammer det?

Fejlen rammer virksomheder og teams der:

  • Kører Kubernetes og bruger Capsule til at opdele klyngen i lejemål (multi-tenancy)
  • Har Capsule-versioner ældre end 0.13.0 installeret
  • Tillader eksterne brugere, kunder eller separate interne teams at agere som lejerejer (Tenant Owner) i klyngen

Bruger du ikke Capsule, er du ikke berørt. Er du i tvivl, kan din driftsleverandør eller cloud-udbyder bekræfte om Capsule indgår i jeres opsætning.

Hvad kan ske?

En angriber med lejerejer-rettigheder kan udnytte fejlen til at:

  • Oprette ClusterRoles (klyngeomfattende adgangsroller) og tildele sig selv eller andre fulde administratorrettigheder
  • Opsætte ValidatingWebhookConfigurations — skjulte kroghændelser der kan aflytte eller manipulere al trafik i klyngen
  • Bryde ud af sin isolerede lejer-boks og tilgå andre lejeres data og systemer
  • Overtage hele Kubernetes-klyngen og de applikationer og data der kører der

Konsekvensen kan være fuldt datatyveri, sabotage af drift eller brug af klyngen som springbræt til videre angreb.

Hvor alvorligt er det?

CVSS-scoren er 9.1 ud af 10 (Kritisk). Angrebet kræver ingen brugerinteraktion og har lav angrebskompleksitet — når angriberen har lejerejer-adgang, er fremgangsmåden ligetil. Påvirkningen på fortrolighed, integritet og tilgængelighed er alle vurderet til Høj, og skaden rækker ud over angriberens eget lejemål til hele klyngen (scope changed). Den eneste dæmpende faktor er, at angriberen allerede skal have lejerejer-rettigheder — det kræver altså en intern bruger, kompromitteret konto eller en ekstern kunde med den adgang.

Hvad gør jeg nu?

Opdater Capsule hurtigst muligt. Følg disse trin:

  1. Kortlæg din version: Bed din drifts- eller cloud-leverandør om at tjekke hvilken version af Capsule der kører i jeres Kubernetes-klynge.
  2. Opdater til version 0.13.0 eller nyere: Rettelsen er tilgængelig. Planlæg opdateringen i en vedligeholdelsesvindueperiode for at minimere nedetid.
  3. Gennemgå lejerejer-konti: Tjek hvem der har Tenant Owner-rettigheder. Fjern adgang for brugere der ikke længere har behov.
  4. Aktiver ekstra adgangskontrol: Overvej om I kan tilføje yderligere admission controllers (adgangskontrolmekanismer) der kan blokere uønskede ressourceoprettelser.
  5. Overvåg logfiler: Gennemgå Kubernetes-auditlogfiler for usædvanlige oprettelser af ClusterRole eller ValidatingWebhookConfiguration de seneste måneder.
Tidsfrist

Opdater inden for 7 dage

Sådan ser Auroa det

Vi anbefaler at opdatere Capsule til version 0.13.0 hurtigst muligt — inden for én uge. Selvom angrebet kræver lejerejer-rettigheder, er det præcis den adgang eksterne kunder eller interne udviklere typisk har i en multi-tenant opsætning. Kombinationen af fuld klynge-overtagelse og den lave angrebskompleksitet gør denne sårbarhed til en reel og alvorlig trussel. Har I ikke ressourcerne internt, så kontakt jeres leverandør eller Auroa for hjælp til opdatering og gennemgang.

Tidslinje

01/06/2026
CVE offentliggjort
CVE-2026-22872 blev officielt registreret og offentliggjort i National Vulnerability Database (NVD) med en kritisk CVSS-score på 9.1.
01/06/2026
Patch frigivet (version 0.13.0)
Capsule version 0.13.0 blev udgivet med en rettelse der forhindrer lejere i at oprette klynge-scoped ressourcer via controllerens forhøjede rettigheder.
01/06/2026
Sårbarheden teknisk beskrevet
Den tekniske detaljegrad i den offentlige CVE-beskrivelse gør det muligt for angribere at forstå og reproducere angrebet, hvilket øger risikoen for udnyttelse i nær fremtid.
08/06/2026
Anbefalet opdateringsfrist
Auroa anbefaler at alle berørte virksomheder har opdateret til Capsule 0.13.0 senest en uge efter offentliggørelsen for at minimere eksponeringsvinduet.

Konkrete eksempler

Ekstern kunde opretter skjult admin-rolle

Et SaaS-selskab bruger Capsule til at give kunder deres eget isolerede lejemål i en delt Kubernetes-klynge. En kunde med lejerejer-adgang udnytter fejlen til at oprette en ClusterRole med fuld administratoradgang og binder den til sin egen bruger. Kunden har nu uindskrænket adgang til alle andre kunders data og applikationer i klyngen — uden at operatøren opdager det.

Angriber installerer skjult overvågningskrog

En angriber med kompromitteret lejerejer-konto opretter en ValidatingWebhookConfiguration der registrerer al API-trafik i klyngen og sender den til en ekstern server. Alle API-kald — inklusive dem med hemmeligheder og adgangsnøgler — bliver nu logget af angriberen. Angrebet er svært at opdage uden løbende auditloggennemgang.

Intern bruger eskalerer rettigheder til fuld klynge-admin

En udvikler hos en virksomhed har lejerejer-rettigheder til sit teams Kubernetes-lejemål, men ikke adgang til produktionsmiljøet. Via CVE-2026-22872 opretter udvikleren en ClusterRoleBinding der giver dennes bruger cluster-admin-rettigheder. Udvikleren kan nu tilgå, ændre og slette ressourcer i produktionsmiljøet, herunder databaser og hemmeligheder.

Ofte stillede spørgsmål

Ramte produkter

Projectcapsule — Capsule

< 0.13.0

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
HIGH
User Interaction
NONE
Scope
CHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

CWE-svaghedstyper

CWE-20
CWE-863

Original NVD-beskrivelse (engelsk)

Capsule is a multi-tenancy and policy-based framework for Kubernetes. The Capsule Controller runs with cluster-admin privileges. Although the TenantResource RawItems processing logic forcibly sets the namespace, this is ineffective for cluster-scoped resources. Prior to version 0.13.0, tenant administrators can leverage the Controller’s elevated privileges to create cluster-scoped resources (such as ClusterRole and ValidatingWebhookConfiguration) that they cannot create directly, achieving cross-tenant privilege escalation and cluster-level attacks. The attack vector has a few limiting factors. This attack requires Tenant Owner privileges and requires Capsule Controller running with cluster-admin privileges (default configuration). Additionally, some clusters may have additional admission controllers blocking malicious resources. Version 0.13.0 patches this issue.

Referencer & kilder

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.1
Visning
Hurtige fakta
CVE-ID
CVE-2026-22872
Offentliggjort
01/06/2026
Sidst opdateret
03/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdater inden for 7 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.