CVE-2026-32604 : RCE critique Spinnaker Gitrepo (9.9)

Les faits

La plateforme open source Spinnaker, utilisee pour orchestrer la livraison continue multi-cloud, est affectee par une faille critique referencee CVE-2026-32604 et publiee le 20 avril 2026 avec un score CVSS de 9.9. Selon l'advisory officiel du projet, la vulnerabilite provient d'une mauvaise sanitisation des entrees utilisateur utilisees pour construire les arguments des artefacts de type gitrepo, en particulier les champs branch et paths. Un attaquant capable d'envoyer un artefact gitrepo forge a une etape de pipeline Spinnaker peut executer des commandes arbitraires sur le pod clouddriver qui resout l'artefact. Aucune authentification n'est exigee dans la configuration par defaut lorsque l'API de pipeline est exposee, et le score 9.9 reflete un impact confidentialite, integrite et disponibilite complet combine a une faible complexite d'attaque.

Le deroulement type d'une attaque commence par l'envoi d'un payload JSON decrivant un artefact gitrepo dont le champ branch contient un metacaractere shell (point-virgule, backtick, substitution de commande), puis l'invocation d'une etape de pipeline qui declenche la resolution d'artefact. Le composant clouddriver passe la valeur non filtree a une commande git interne, ce qui execute la charge utile sous l'identite du pod. De la, un attaquant peut lire les secrets Kubernetes montes, pivoter vers les metadonnees cloud du node, ou injecter un conteneur pirate dans le cluster. Les chercheurs qui ont documente la faille soulignent qu'une simple requete POST vers l'API d'orchestration suffit a declencher le chemin vulnerable, rendant l'exploitation extremement fiable.

Impact et exposition

Spinnaker est deploye dans beaucoup de grandes entreprises tech, avec des droits etendus sur AWS, GCP et Kubernetes via ses comptes de service. Une compromission du pod clouddriver ouvre un acces direct aux pipelines de deploiement : suppression de ressources, injection de nouvelles images, vol de credentials longue duree. La surface exposee inclut toute instance ou l'API d'orchestration est accessible meme a des developpeurs internes ; dans les topologies multi-equipe, un collaborateur disposant d'un token de bas privilege peut escalader a root sur le pipeline entier. Les deploiements en SaaS manages ou derriere un VPN ne sont pas a l'abri si la segmentation logique est insuffisante. Les organisations qui exposent accidentellement Spinnaker sur Internet, ce qui arrive regulierement, sont en risque immediat.

Recommandations immediates

• Appliquer sans delai la mise a jour vers une version corrigee : Spinnaker 2026.1.0, 2026.0.1, 2025.4.2 ou 2025.3.2 selon la branche deployee.
• En attendant le patch, desactiver les artefacts de type gitrepo dans la configuration clouddriver (clouddriver.yml, section artifacts.gitrepo.enabled).
• Restreindre l'acces a l'API d'orchestration via mTLS et reseau prive ; supprimer toute exposition publique.
• Rotation immediate des credentials injectes dans clouddriver : cles cloud, tokens Kubernetes, secrets Git.
• Analyser les logs de pipeline sur les 30 derniers jours pour reperer des valeurs de branch ou paths contenant des metacaracteres suspects.