Vulnerabilidad en KubeClarity (CVE-2024-39909)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
12/07/2024
Última modificación:
15/04/2026
Descripción
KubeClarity es una herramienta para la detección y gestión de listas de materiales de software (SBOM) y vulnerabilidades de imágenes de contenedores y sistemas de archivos. Una inyección SQL booleana/hora está presente en el siguiente recurso `/api/applicationResources` a través del siguiente parámetro `packageID`. Como se puede ver en backend/pkg/database/id_view.go, mientras se construye la consulta SQL, la función `fmt.Sprintf` se utiliza para construir la cadena de consulta sin que la entrada haya sido sometida primero a ninguna validación. Esta vulnerabilidad se solucionó en 2.23.1.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://github.com/openclarity/kubeclarity/blob/main/backend/pkg/database/id_view.go#L79
- https://github.com/openclarity/kubeclarity/commit/1d1178840703a72d9082b7fc4aea0a3326c5d294
- https://github.com/openclarity/kubeclarity/security/advisories/GHSA-5248-h45p-9pgw
- https://github.com/openclarity/kubeclarity/blob/main/backend/pkg/database/id_view.go#L79
- https://github.com/openclarity/kubeclarity/commit/1d1178840703a72d9082b7fc4aea0a3326c5d294
- https://github.com/openclarity/kubeclarity/security/advisories/GHSA-5248-h45p-9pgw



