漏洞关键信息 漏洞标题 Missing Authorization Vulnerabilities in Approval & Promotion REST API Endpoints 软件包与版本 受影响版本: v1.9.0 - v1.9.2 已修复版本: v1.9.3 软件包: ghcr.io/akuity/kargo, ghcr.io/akuity/kargo-charts/kargo (Docker, Helm) 严重程度 CVSS v4 基础评分: 5.3/10 (中等) CVSS 向量: CVSS:4.0/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:L/A:N 漏洞描述 概述: Kargo 的授权模型包含了一个 动词,用于控制通过 promotion 管道提升 Freight 的权限。然而,REST API 的三个端点忽略了对 权限的检查,仅依赖于标准 Kubernetes RBAC,导致未被授权的用户可能绕过授权边界。 影响端点 1. POST /v1beta1/projects/{project}/freight/{freight}/approve 2. POST /v1beta1/projects/{project}/stages/{stage}/promotions 3. POST /v1beta1/projects/{project}/stages/{stage}/promotions/downstream 基础度量值 (Base Metrics) 攻击向量 (AV): 网络 攻击复杂度 (AC): 低 攻击要求 (AT): 无 所需权限 (PR): 低 用户交互 (UI): 无 对脆弱系统的机密性影响 (VC): 无 对脆弱系统的完整性影响 (VI): 低 对脆弱系统的可用性影响 (VA): 无 对后续系统的机密性影响 (SC): 无 对后续系统的完整性影响 (SI): 低 对后续系统的可用性影响 (SA): 无 缓解因素 仅 REST API 端点受此漏洞影响;gRPC API 和 UI 不受影响。 受影响的版本窗口较短:v1.9.0 到 v1.9.2。 利用此漏洞需要对 Kargo API 服务器进行身份验证和特定的操作权限。 影响仅限于单个 Project。 漏洞ID CVE ID: CVE-2026-27111 弱点类型: CWE-862 贡献者 报告者: b0b0haha 协调员: krancour