Vulnerabilidad en CRI-O (CVE-2024-8676)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-285
Autorización incorrecta
Fecha de publicación:
26/11/2024
Última modificación:
02/07/2025
Descripción
Se encontró una vulnerabilidad en CRI-O, donde se le puede solicitar que tome un archivo de punto de control de un contenedor y luego se le puede solicitar que lo restaure. Cuando realiza esa restauración, intenta restaurar los montajes del archivo de restauración en lugar de la solicitud del pod. Como resultado, las validaciones que se ejecutan en la especificación del pod, verificando que el pod tiene acceso a los montajes que especifica, no son aplicables a un contenedor restaurado. Esta falla permite que un usuario malintencionado engañe a CRI-O para que restaure un pod que no tiene acceso a los montajes del host. El usuario necesita acceso al socket kubelet o cri-o para llamar al endpoint de restauración y activar la restauración.
Impacto
Puntuación base 3.x
7.40
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://access.redhat.com/errata/RHBA-2024:10826
- https://access.redhat.com/errata/RHSA-2025:0648
- https://access.redhat.com/errata/RHSA-2025:1908
- https://access.redhat.com/errata/RHSA-2025:3297
- https://access.redhat.com/errata/RHSA-2025:4211
- https://access.redhat.com/errata/RHSA-2025:9765
- https://access.redhat.com/security/cve/CVE-2024-8676
- https://bugzilla.redhat.com/show_bug.cgi?id=2313842