Vulnerabilidad en Kubernetes CRI-O (CVE-2018-1000400)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-269 Gestión de privilegios incorrecta

Fecha de publicación:

18/05/2018

Última modificación:

03/10/2019

Descripción

Kubernetes CRI-O, en versiones anteriores a la 1.9, contiene una vulnerabilidad de error de switching en un contexto privilegiado (CWE-270) en la gestión de capacidades de ambiente que puede resultar en que los contenedores se ejecuten con privilegios elevados, lo que permite que los usuarios tengan permisos que no deberían tener. Este ataque parece ser explotable mediante la ejecución de contenedores. La vulnerabilidad parece haber sido solucionada en la versión 1.9.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

8.80

Gravedad 3.x

ALTA

Vector 2.0

AV:N/AC:L/Au:S/C:P/I:P/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: AV:N/AC:L/Au:S/C:P/I:P/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Físico