Vulnerabilidad en Kubernetes Image Builder (CVE-2024-9594)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-798 Credenciales embebidas en el software

Fecha de publicación:

15/10/2024

Última modificación:

08/11/2024

Descripción

Se descubrió un problema de seguridad en las versiones de Kubernetes Image Builder &lt;= v0.1.37, donde las credenciales predeterminadas se habilitan durante el proceso de creación de imágenes cuando se utilizan los proveedores Nutanix, OVA, QEMU o raw. Las credenciales se pueden utilizar para obtener acceso raíz. Las credenciales se deshabilitan al finalizar el proceso de creación de imágenes. Los clústeres de Kubernetes solo se ven afectados si sus nodos utilizan imágenes de VM creadas a través del proyecto Image Builder. Debido a que estas imágenes eran vulnerables durante el proceso de creación de imágenes, solo se ven afectadas si un atacante pudo llegar a la VM donde se estaba creando la imagen y utilizó la vulnerabilidad para modificar la imagen en el momento en que se estaba creando la imagen.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.10 ALTA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto