Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en El extremo de depuración /debug/pprof (CVE-2019-11248)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
29/08/2019
Última modificación:
05/10/2020

Descripción

El extremo de depuración /debug/pprof se expone a través del puerto de salud de Kubelet no autenticado. El punto final del pprof go se expone sobre el puerto healthz del Kubelet. Este extremo de depuración puede filtrar información confidencial, como las direcciones internas de memoria y la configuración de Kubelet, o por una denegación de servicio limitada. Las versiones anteriores a 1.15.0, 1.14.4, 1.13.8 y 1.12.10 se ven afectadas. El problema es de gravedad media, pero no expuesto por la configuración predeterminada.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:kubernetes:kubernetes:*:*:*:*:*:*:*:* 1.12.10 (excluyendo)
cpe:2.3:a:kubernetes:kubernetes:1.13.0:-:*:*:*:*:*:*
cpe:2.3:a:kubernetes:kubernetes:1.13.0:alpha0:*:*:*:*:*:*
cpe:2.3:a:kubernetes:kubernetes:1.13.0:alpha1:*:*:*:*:*:*
cpe:2.3:a:kubernetes:kubernetes:1.13.0:alpha2:*:*:*:*:*:*
cpe:2.3:a:kubernetes:kubernetes:1.13.0:alpha3:*:*:*:*:*:*
cpe:2.3:a:kubernetes:kubernetes:1.13.0:beta0:*:*:*:*:*:*
cpe:2.3:a:kubernetes:kubernetes:1.13.0:beta1:*:*:*:*:*:*
cpe:2.3:a:kubernetes:kubernetes:1.13.0:beta2:*:*:*:*:*:*
cpe:2.3:a:kubernetes:kubernetes:1.13.0:rc1:*:*:*:*:*:*
cpe:2.3:a:kubernetes:kubernetes:1.13.0:rc2:*:*:*:*:*:*
cpe:2.3:a:kubernetes:kubernetes:1.13.1:-:*:*:*:*:*:*
cpe:2.3:a:kubernetes:kubernetes:1.13.1:beta0:*:*:*:*:*:*
cpe:2.3:a:kubernetes:kubernetes:1.13.2:-:*:*:*:*:*:*
cpe:2.3:a:kubernetes:kubernetes:1.13.2:beta0:*:*:*:*:*:*