Vulnerabilidad en El extremo de depuración /debug/pprof (CVE-2019-11248)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
29/08/2019
Última modificación:
05/10/2020
Descripción
El extremo de depuración /debug/pprof se expone a través del puerto de salud de Kubelet no autenticado. El punto final del pprof go se expone sobre el puerto healthz del Kubelet. Este extremo de depuración puede filtrar información confidencial, como las direcciones internas de memoria y la configuración de Kubelet, o por una denegación de servicio limitada. Las versiones anteriores a 1.15.0, 1.14.4, 1.13.8 y 1.12.10 se ven afectadas. El problema es de gravedad media, pero no expuesto por la configuración predeterminada.
Impacto
Puntuación base 3.x
8.20
Gravedad 3.x
ALTA
Puntuación base 2.0
6.40
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:kubernetes:kubernetes:*:*:*:*:*:*:*:* | 1.12.10 (excluyendo) | |
cpe:2.3:a:kubernetes:kubernetes:1.13.0:-:*:*:*:*:*:* | ||
cpe:2.3:a:kubernetes:kubernetes:1.13.0:alpha0:*:*:*:*:*:* | ||
cpe:2.3:a:kubernetes:kubernetes:1.13.0:alpha1:*:*:*:*:*:* | ||
cpe:2.3:a:kubernetes:kubernetes:1.13.0:alpha2:*:*:*:*:*:* | ||
cpe:2.3:a:kubernetes:kubernetes:1.13.0:alpha3:*:*:*:*:*:* | ||
cpe:2.3:a:kubernetes:kubernetes:1.13.0:beta0:*:*:*:*:*:* | ||
cpe:2.3:a:kubernetes:kubernetes:1.13.0:beta1:*:*:*:*:*:* | ||
cpe:2.3:a:kubernetes:kubernetes:1.13.0:beta2:*:*:*:*:*:* | ||
cpe:2.3:a:kubernetes:kubernetes:1.13.0:rc1:*:*:*:*:*:* | ||
cpe:2.3:a:kubernetes:kubernetes:1.13.0:rc2:*:*:*:*:*:* | ||
cpe:2.3:a:kubernetes:kubernetes:1.13.1:-:*:*:*:*:*:* | ||
cpe:2.3:a:kubernetes:kubernetes:1.13.1:beta0:*:*:*:*:*:* | ||
cpe:2.3:a:kubernetes:kubernetes:1.13.2:-:*:*:*:*:*:* | ||
cpe:2.3:a:kubernetes:kubernetes:1.13.2:beta0:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página