Vulnerabilidad en Helm (CVE-2024-25620)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)

Fecha de publicación:

15/02/2024

Última modificación:

09/01/2025

Descripción

Helm es una herramienta para gestionar gráficos. Los gráficos son paquetes de recursos de Kubernetes preconfigurados. Cuando se utiliza el cliente Helm o el SDK para guardar un gráfico cuyo nombre dentro del archivo `Chart.yaml` incluye un cambio de ruta relativa, el gráfico se guardará fuera de su directorio esperado en función de los cambios en la ruta relativa. La validación y el linting no detectaron los cambios de ruta en el nombre. Este problema se resolvió en Helm v3.14.1. Los usuarios que no puedan actualizar deben verificar todos los gráficos utilizados por Helm en busca de cambios de ruta en su nombre, como se encuentra en el archivo `Chart.yaml`. Esto incluye dependencias.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.40 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno