OpenShift Pipelines - CVE-2026-10840

Date de publication : 08/06/2026

Il s'agit d'une vulnérabilité dans l'opérateur OpenShift Pipelines (tektoncd/operator), au niveau de sa configuration RBAC.

OpenShift Pipelines est un opérateur Kubernetes de Red Hat fondé sur Tekton, qui fournit des capacités de CI/CD natives au cluster OpenShift pour l'orchestration de pipelines d'intégration et de déploiement continus.

Le ClusterRoleBinding tekton-scheduler-rolebinding lie le ClusterRole tekton-scheduler-role au groupe system:authenticated, accordant à tout utilisateur authentifié des droits d'écriture sur les ressources Kueue et cert-manager. Ce binding est déployé de façon inconditionnelle, même lorsque la fonctionnalité Tekton Scheduler est désactivée. Un attaquant peut exploiter un mécanisme de confused deputy en créant des objets Certificate ciblant des Secrets arbitraires, forçant le ServiceAccount cert-manager à écraser le Secret TLS de l'ingress controller par défaut.

Elle permet à tout utilisateur authentifié de perturber l'ordonnancement multi-tenant, de détruire les objets Workload d'autres locataires, ou de compromettre les certificats TLS du contrôleur d'entrée.

CVE-2026-10840

[Score CVSS v3.1 : 9.6]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Oui

Risques

•   Contournement de la politique de sécurité
•   Atteinte à la confidentialité des données
•   Atteinte à l'intégrité des données

Exploitation

La vulnérabilité exploitée est du type
CWE-732 : Incorrect Permission Assignment for Critical Resource

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

• OpenShift Pipelines (pipelines-rhel8-operator / pipelines-rhel9-operator), toutes versions affectées (aucun correctif disponible à ce jour)
• openshift-builds/openshift-builds-rhel9-operator, toutes versions affectées

Contournement provisoire

•   Si le Tekton Scheduler n'est pas utilisé, patcher le ClusterRoleBinding pour référencer un ServiceAccount spécifique plutôt que system:authenticated via la commande oc patch fournie par Red Hat, puis vérifier que la boucle de réconciliation de l'opérateur ne réapplique pas le binding d'origine.
•   Supprimer le ClusterRoleBinding tekton-scheduler-rolebinding si le Tekton Scheduler est désactivé.
•   En cas de réapplication automatique par l'opérateur, réduire le déploiement de l'opérateur à zéro réplicas ou configurer l'opérateur pour ignorer la réconciliation de cet objet.

Solutions ou recommandations

Aucun correctif éditeur disponible à ce jour pour l'ensemble des branches affectées.