Vulnerabilidad en OpenShift (CVE-2024-4369)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
01/05/2024
Última modificación:
15/04/2026
Descripción
Se encontró una falla de divulgación de información en el operador de registro de imágenes interno de OpenShift. AZURE_CLIENT_SECRET se puede exponer a través de una variable de entorno definida en la definición del pod, pero está limitado a entornos de Azure. Un atacante que controle una cuenta que tenga permisos suficientemente altos para obtener información de pod del espacio de nombres openshift-image-registry podría usar este secreto de cliente obtenido para realizar acciones como la cuenta de servicio de Azure del operador de registro.
Impacto
Puntuación base 3.x
6.80
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://access.redhat.com/errata/RHSA-2024:3881
- https://access.redhat.com/errata/RHSA-2024:3889
- https://access.redhat.com/security/cve/CVE-2024-4369
- https://bugzilla.redhat.com/show_bug.cgi?id=2278035
- https://access.redhat.com/errata/RHSA-2024:3881
- https://access.redhat.com/errata/RHSA-2024:3889
- https://access.redhat.com/security/cve/CVE-2024-4369
- https://bugzilla.redhat.com/show_bug.cgi?id=2278035