Vulnerabilidad en BuildKit (CVE-2024-23653)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

31/01/2024

Última modificación:

09/02/2024

Descripción

BuildKit es un conjunto de herramientas para convertir código fuente para crear artefactos de manera eficiente, expresiva y repetible. Además de ejecutar contenedores como pasos de compilación, BuildKit también proporciona API para ejecutar contenedores interactivos basados en imágenes creadas. Era posible utilizar estas API para pedirle a BuildKit que ejecutara un contenedor con privilegios elevados. Normalmente, la ejecución de dichos contenedores solo se permite si el derecho especial `security.insecure` está habilitado tanto por la configuración de buildkitd como por el usuario que inicializa la solicitud de compilación. El problema se solucionó en v0.12.5. Evite el uso de interfaces BuildKit de fuentes no confiables.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto