Spinnaker CVE-2026-32604 : RCE non authentifiée CVSS 9.9

Les faits

La fondation Linux a publié le 20 avril 2026 un correctif pour CVE-2026-32604, une vulnérabilité critique notée CVSS 9.9 affectant Spinnaker, la plateforme open-source de livraison continue multi-cloud maintenue par Netflix et Google. La faille réside dans la gestion des entrées utilisateur sur les paramètres branch et paths des artefacts de type gitrepo, traités par les pods clouddriver.

Selon l'avis de sécurité publié sur le dépôt GitHub du projet, un attaquant distant peut exécuter des commandes arbitraires sans authentification préalable (AV:N, PR:N) sur les pods clouddriver. L'exploitation permet d'exposer des secrets de pipeline, de supprimer des fichiers ou d'injecter des ressources dans l'environnement d'exécution. La sévérité maximale tient à l'absence totale de prérequis : un simple pipeline déclenché par une source non vérifiée suffit à compromettre toute la chaîne CI/CD.

Impact et exposition

Spinnaker est déployé dans de nombreuses entreprises Fortune 500 pour orchestrer les déploiements Kubernetes et multi-cloud. Les instances exposant l'interface de déclenchement de pipelines à des webhooks externes ou à des utilisateurs peu privilégiés sont particulièrement à risque. Les clusters où le clouddriver dispose de credentials cloud (AWS IAM, GCP service accounts, Azure SP) élargissent drastiquement la surface d'impact : un attaquant peut pivoter de la chaîne CI/CD vers l'infrastructure cible.

Recommandations

• Mettre à jour immédiatement vers 2026.1.0, 2026.0.1, 2025.4.2 ou 2025.3.2 selon la branche utilisée
• En contournement temporaire, désactiver complètement les artefacts de type gitrepo
• Auditer les logs clouddriver pour toute exécution anormale sur les sept derniers jours
• Effectuer une rotation des credentials cloud accessibles depuis le pod clouddriver
• Restreindre l'exposition réseau de l'interface de pipeline aux seuls IP de confiance