중요 gRPC-Go 취약점 CVE-2026-33186: HTTP/2 경로 조작을 통한 권한 우회

在GRPC-Go案中确认了一项关键的授权绕行脆弱性,允许未经授权获得受保护服务。 缺陷被指定为CVE-2026-33186,其原因是HTTP/2`path'伪信头的输入验证不当。 具体地说,GRPC-Go服务器错误地提出了要求,其中省略了路径上的强制性领先斜线(例如`服务/方法 ' 而不是`/服务/方式 ' )。 虽然路由成功,但服务器的授权逻辑灾难性地失败了:安全拦截器(包括官方的`grpc/authz' 套件)对原非卡通路径字符串进行了评估。 这种不匹配意味着,以正确的卡尼科路径(从`/'开始)界定的“拒绝”规则不会触发,如果存在后备“允许”规则,则允许请求继续处理。 这种脆弱性直接影响到使用基于路径的授权拦截器的任何GRPC-Go服务器。 这包括利用区域局在`google.golang.org/grpc/authz ' 或依赖`info.FullMethod'实地进行决策的定制截击器的正式执行的服务器。 受影响的代码存在于项目`释放-1.17'和`释放1.16'两个分支。 在Kyverno项目的安全咨询范围内,通过GitHub的代码扫描工具(CodeQL ID 2270)查明并跟踪了这一问题。 这一缺陷表明,在广泛用于微观服务通信的核心基础设施组成部分中,安全严重失灵。 它为未经授权的行为体绕过关键的出入控制,直接开辟了一条道路,有可能导致受影响系统内的数据被破坏或特权升级。 受影响的GRPC-Go服务器管理员必须立即使用补丁,以弥补这一授权缺口并防止利用。