Vulnerabilidad en los enlaces simbólicos en los archivos /etc/passwd y /dev/urandom en Helm (CVE-2019-18658)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-59
Incorrecta resolución de una ruta antes de aceder a un fichero (Seguimiento de enlaces)
Fecha de publicación:
12/11/2019
Última modificación:
14/11/2019
Descripción
En Helm versiones 2.x anteriores a 2.15.2, los comandos que se ocupan de cargar un gráfico como un directorio o empaquetar un gráfico ofrecen la oportunidad de que un gráfico diseñado con fines maliciosos incluya contenido confidencial tal y como /etc/passwd o ejecute una denegación de servicio (DoS) por medio de un archivo especial tal y como /dev/urandom, por medio de enlaces simbólicos. No se conoce que ninguna versión de Tiller esté afectada. Este es un problema solo del cliente.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:helm:helm:*:*:*:*:*:*:*:* | 2.0.0 (incluyendo) | 2.15.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página