Vulnerabilidad en azure-file-csi-driver (CVE-2024-3744)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-532
Exposición de información a través de archivos de log
Fecha de publicación:
15/05/2024
Última modificación:
13/02/2025
Descripción
Se descubrió un problema de seguridad en azure-file-csi-driver donde un actor con acceso a los registros del controlador podía observar los tokens de la cuenta de servicio. Estos tokens podrían luego intercambiarse con proveedores de nube externos para acceder a los secretos almacenados en soluciones de bóveda en la nube. Los tokens solo se registran cuando TokenRequests está configurado en el objeto CSIDriver y el controlador está configurado para ejecutarse en el nivel de registro 2 o superior mediante el indicador -v.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2024/05/09/4
- https://github.com/kubernetes/kubernetes/issues/124759
- https://groups.google.com/g/kubernetes-security-announce/c/hcgZE2MQo1A/m/Y4C6q-CYAgAJ
- http://www.openwall.com/lists/oss-security/2024/05/09/4
- https://github.com/kubernetes/kubernetes/issues/124759
- https://groups.google.com/g/kubernetes-security-announce/c/hcgZE2MQo1A/m/Y4C6q-CYAgAJ