Vulnerabilidad en Karmada (CVE-2024-56513)

Gravedad CVSS v4.0:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

03/01/2025

Última modificación:

03/01/2025

Descripción

Karmada es un sistema de administración de Kubernetes que permite a los usuarios ejecutar aplicaciones nativas de la nube en varios clústeres y nubes de Kubernetes. Antes de la versión 1.12.0, los clústeres en modo PULL registrados con el comando `karmadactl register` tienen privilegios excesivos para acceder a los recursos del plano de control. Al abusar de estos permisos, un atacante capaz de autenticarse como agente de karmada en un clúster de karmada podría obtener privilegios administrativos sobre todo el sistema de federación, incluidos todos los clústeres miembros registrados. Desde Karmada v1.12.0, el comando `karmadactl register` restringe los permisos de acceso de los clústeres miembros del modo pull a los recursos del plano de control. De esta manera, un atacante capaz de autenticarse como agente de karmada no puede controlar otros clústeres miembros en Karmada. Como workaround, se pueden restringir los permisos de acceso de los clústeres miembros del modo pull a los recursos del plano de control de acuerdo con los documentos de permisos de componentes de Karmada.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 8.70 ALTA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Alto
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

8.70

Gravedad 4.0

ALTA

Vulnerabilidad en Karmada (CVE-2024-56513)

Descripción

Impacto

Referencias a soluciones, herramientas e información