Kritische Kubernetes-Sicherheitslücke in vCluster von Loft - CVE-2026-22806

Zusammenfassung

Eine Sicherheitslücke in der Kubernetes-Lösung vCluster von Loft ermöglicht es, den Geltungsbereich von Zugriffsschlüsseln zu umgehen. Dadurch können Angreifer auf Ressourcen zugreifen, die eigentlich außerhalb der Berechtigungen liegen. Zwar können Nutzer keine Daten außerhalb der Zugriffsrechte einsehen, doch das Risiko ist erheblich. Loft empfiehlt dringend ein Update auf die Versionen 4.6.0, 4.5.4, 4.4.2 oder 4.3.10.

Loft-sh - Loft - CRITICAL - CVE-2026-22806. The vCluster Platform, a Kubernetes solution for managing virtual clusters and ensuring multi-tenancy, is susceptible to a security issue where access keys, intended to have limited scope, can be bypassed. This loophole allows unauthorized access to resources outside the predefined boundaries of the access key. Although users cannot access resources beyond what the access key owner is permitted to reach, this vulnerability poses a significant risk. Users are encouraged to update to versions 4.6.0, 4.5.4, 4.4.2, or 4.3.10 for enhanced security. In the interim, implementing temporary workarounds, such as closely reviewing scoped access keys and restricting user permissions, can help mitigate risk while longer-term solutions are pursued.