Vulnerabilidad en Laf (CVE-2023-50253)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-532
Exposición de información a través de archivos de log
Fecha de publicación:
03/01/2024
Última modificación:
11/01/2024
Descripción
Laf es una plataforma de desarrollo en la nube. En el diseño de la versión Laf, el registro utiliza la comunicación con k8s para recuperar rápidamente los registros del contenedor sin necesidad de almacenamiento adicional. Sin embargo, en la versión 1.0.0-beta.13 y anteriores, esta interfaz no verifica los permisos del pod, lo que permite a los usuarios autenticados obtener cualquier registro del pod bajo el mismo espacio de nombres a través de este método, obteniendo así información confidencial impresa en los registros. Al momento de la publicación, no existen versiones parcheadas conocidas.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:laf:laf:0.1.5:*:*:*:*:*:*:* | ||
| cpe:2.3:a:laf:laf:0.4.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:laf:laf:0.4.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:laf:laf:0.4.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:laf:laf:0.4.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:laf:laf:0.4.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:laf:laf:0.4.5:*:*:*:*:*:*:* | ||
| cpe:2.3:a:laf:laf:0.4.6:*:*:*:*:*:*:* | ||
| cpe:2.3:a:laf:laf:0.4.7:*:*:*:*:*:*:* | ||
| cpe:2.3:a:laf:laf:0.4.8:*:*:*:*:*:*:* | ||
| cpe:2.3:a:laf:laf:0.4.9:*:*:*:*:*:*:* | ||
| cpe:2.3:a:laf:laf:0.4.10:*:*:*:*:*:*:* | ||
| cpe:2.3:a:laf:laf:0.4.11:*:*:*:*:*:*:* | ||
| cpe:2.3:a:laf:laf:0.4.12:*:*:*:*:*:*:* | ||
| cpe:2.3:a:laf:laf:0.4.13:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página