JVN iPedia http://jvndb.jvn.jp Advisory JVNDB-2026-009870 YokeはHelmに触発されたインフラストラクチャ・アズ・コード（IaC）パッケージデプロイヤーです。バージョン0.19.0以前のYokeのAir Traffic Controller（ATC）コンポーネントには脆弱性があります。ATCのWebhookエンドポイントは適切な認証機構を欠いており、クラスター内の任意のポッドがKubernetes APIサーバーの認証を回避してAdmissionReviewリクエストを直接Webhookに送信できます。これにより、攻撃者は適切な認可なしにATCコントローラーのコンテキスト内でWASMモジュールを実行させることが可能になります。 cpe:/a:yokecd:yoke https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-009870.html Common Vulnerabilities and Exposures (CVE) CVE-2026-26055 https://www.cve.org/CVERecord?id=CVE-2026-26055 National Vulnerability Database (NVD) CVE-2026-26055 https://nvd.nist.gov/vuln/detail/CVE-2026-26055 GitHub Unauthenticated Admission Webhook Endpoints in Yoke ATC Advisory yokecd/yoke GitHub https://github.com/yokecd/yoke/security/advisories/GHSA-965m-v4cc-6334 JVNDB CWE-306 https://cwe.mitre.org/data/definitions/306.html 2026-04-03T11:19:18+09:00 2026-04-03T11:19:18+09:00