CVE-2026-32613 (CVSS 9.9) : RCE dans Spinnaker Echo via évaluation SPeL non restreinte
Publiée le 20 avril 2026, cette faille critique dans Spinnaker Echo permet à un attaquant authentifié d'exécuter du code arbitraire via une expression SPeL malveillante. Patch dans les versions 2026.1.0, 2026.0.1, 2025.4.2 et 2025.3.2.
Spinnaker, la plateforme de déploiement continu multi-cloud open-source initiée par Netflix et maintenant sous l'égide de la Continuous Delivery Foundation, est utilisée par de grandes entreprises pour orchestrer leurs pipelines de livraison vers Kubernetes, AWS, GCP et Azure. Le 20 avril 2026, un advisory critique est publié pour CVE-2026-32613 (CVSS 9.9), affectant le service Echo, responsable de la gestion des événements et des déclencheurs de pipelines.
Un deuxième CVE est publié simultanément : CVE-2026-32604 (CVSS 10.0) dans le service Clouddriver, permettant une RCE via injection d'un nom de branche non sanitisé dans un shell (sh -c). Le Centre pour la Cybersécurité Belgique a émis une alerte urgente couvrant les deux CVE.
Mécanisme d'exploitation
Le service Echo utilise Spring Expression Language (SPeL) pour traiter les informations relatives aux expected artifacts dans les déclencheurs de pipelines. Dans les versions affectées, Echo ne restreint pas le contexte SPeL à un ensemble de classes de confiance. Un attaquant disposant d'un accès bas niveau à Spinnaker peut soumettre un artifact contenant une expression SPeL arbitraire :
#{T(java.lang.Runtime).getRuntime().exec(new String[]{"/bin/bash","-c","id > /tmp/pwned"})}
Lors de l'évaluation par Echo, le moteur SPeL instancie des classes Java arbitraires et invoque des commandes système avec les privilèges du processus Spinnaker. L'accès JVM complet permet également la lecture et l'écriture de fichiers sur le système hôte.
Versions affectées et patches
| Canal | Versions vulnérables | Version patchée |
|---|---|---|
| 2026.x | < 2026.1.0 | 2026.1.0 |
| 2026.0.x | < 2026.0.1 | 2026.0.1 |
| 2025.4.x | < 2025.4.2 | 2025.4.2 |
| 2025.3.x | < 2025.3.2 | 2025.3.2 |
Contournement temporaire : désactiver le service Echo jusqu'à la mise à jour. Cela désactivera les déclencheurs automatiques de pipelines (webhooks, crons, notifications) mais protègera l'instance contre l'exploitation.
Impact réel sur les pipelines CI/CD
Spinnaker est typiquement déployé avec des accès étendus : registres Docker, clusters Kubernetes, comptes cloud AWS/GCP/Azure, et parfois des secrets d'environnement de production. Une exploitation réussie donne potentiellement accès à l'ensemble des environnements gérés par l'instance.
L'équipe ZeroPath a publié un PoC fonctionnel couvrant les deux CVE (CVE-2026-32604 et CVE-2026-32613), démontrant l'exploitation en deux étapes : injection via un artifact de pipeline, puis exécution de commandes. La publication simultanée d'un PoC public rend la mise à jour encore plus urgente.
Actions recommandées
- Mettre à jour immédiatement vers l'une des versions patchées listées ci-dessus.
- Inspecter les logs Echo pour toute expression SPeL inattendue dans les payloads d'artifacts — chercher les patterns
#{T(java.lang.ou#{newdans les logs. - Auditer les permissions Spinnaker : limiter les rôles utilisateurs au strict nécessaire ; un attaquant doit être authentifié pour exploiter CVE-2026-32613.
- Vérifier CVE-2026-32604 en parallèle : si Clouddriver utilise des artifacts de type
gitrepo, la faille est exploitable dans les mêmes conditions. - Réseau : si une mise à jour immédiate est impossible, isoler l'interface web Spinnaker derrière un VPN ou restreindre les accès réseau au service Echo.
La combinaison des deux CVE dans un seul pipeline (Clouddriver pour l'injection initiale, Echo pour l'escalade) représente un risque particulièrement élevé pour les organisations dont les pipelines Spinnaker ont un accès direct aux environnements de production.
Advisory GitLab — CVE-2026-32613 | Alerte CCB Belgique | PoC ZeroPath (GitHub)