DevSecOps Digest
Щоденний DevSecOps дайджест

DevSecOps дайджест — 29 травня 2026

posts · 2026-05-29

Ключові новини

  • LiteSpeed cPanel plugin потрапив у KEV із дуже коротким remediation-вікном. CISA додала CVE-2026-48172 як actively exploited privilege escalation: проблема дозволяє виконувати скрипти з root-рівнем через user-end plugin, а федеральним агентствам США дали дедлайн до 29 травня (CISA). Новий кут дня: shared hosting/control-panel plugins — це не “другорядна адмінка”, а privileged automation plane, який часто має доступ до сайтів, shell-операцій і клієнтських середовищ.

  • Вендорський advisory LiteSpeed дає практичний IOC, а не лише CVE-номер. LiteSpeed підтвердив активну експлуатацію версій user-end plugin v2.3–v2.4.4, випустив WHM Plugin v5.3.1.0 із cPanel plugin v2.4.7 і рекомендує перевірити логи на cpanel_jsonapi_func=redisAble (LiteSpeed). Для DevSecOps-команд це хороший приклад “patch + hunt”: оновлення без швидкого log review може залишити вже скомпрометований хост непоміченим.

  • CodeQL 2.25.5 посилив аналіз GitHub Actions саме там, де останні атаки бʼють найчастіше. GitHub додав ширше моделювання poisonable_steps, кращу перевірку composite actions для actions/unpinned-tag і зменшив false positives у кількох Java/C++ запитах (GitHub Changelog). Це не заміна review, але корисний guardrail: workflow YAML, composite actions і privileged checkout мають проходити такий самий security review, як application code.

  • Kubernetes SMB CSI Driver отримав path traversal CVE з ризиком видалення не тих директорій. CVE-2026-3865 стосується недостатньої валідації subDir у volume identifiers: користувачі з правом створювати PersistentVolumes могли змусити driver працювати поза очікуваним шляхом на SMB server; fixed version — v1.20.1+ (Kubernetes GitHub issue). Практичний висновок простий: право створювати PV — це storage-admin privilege, не звичайний developer convenience.

  • ingress-nginx знову показує, що annotations — це code-like surface. CVE-2026-4342 описує configuration injection через комбінацію Ingress annotations, що може призвести до code execution у контексті ingress-nginx controller і disclosure Secrets, доступних controllerʼу (Kubernetes GitHub issue). Якщо controller має cluster-wide доступ до Secrets, blast radius annotation bug стає значно більшим за “помилку в ingress”.

3 матеріали, які варто прочитати

  1. CISA gives feds 4 days to patch actively exploited cPanel plugin flaw — короткий розбір CVE-2026-48172 з контекстом KEV, affected versions, vendor patch path і IOC. Варто прочитати як шаблон для emergency patch runbook: inventory → update/remove → log hunt → IP review → damage assessment.

  2. CodeQL CLI 2.25.5 changelog — корисно для команд, які реально покладаються на code scanning: подивіться, які GitHub Actions та path-injection сценарії тепер ловляться краще, і чи ваш GHES / self-hosted setup не сидить на старій CodeQL-версії.

  3. OWASP AI Testing Guide 2026 — не новина про конкретний CVE, але хороший практичний міст між AppSec і AI security: threat model для prompt injection, model poisoning, privacy leakage і trustworthiness треба перетворювати на повторювані тести, а не залишати в презентаціях.

Практичний takeaway

Сьогодні варто зробити один targeted access review: хто у ваших Kubernetes-кластерах може створювати PersistentVolume, міняти Ingress annotations і редагувати GitHub Actions/composite actions. Якщо ці права видані “бо так зручно”, це вже не дрібна RBAC-неточність, а прямий шлях до storage damage, secret exposure або CI/CD compromise. Мінімальний сильний крок: забрати ці permissions з broad developer ролей, додати CODEOWNERS/approval для .github/workflows/ і зафіксувати emergency patch+hunt чеклист для control-panel/plugin CVE.