Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en El kube-apiserver de Kubernetes (CVE-2019-11247)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
29/08/2019
Última modificación:
02/10/2020

Descripción

El kube-apiserver de Kubernetes permite por error el acceso a un recurso personalizado de ámbito de clúster si la solicitud se realiza como si el recurso estuviera con espacio de nombres. Las autorizaciones para el recurso al que se tiene acceso de esta manera se aplican mediante roles y enlaces de roles dentro del espacio de nombres, lo que significa que un usuario con acceso solo a un recurso en un espacio de nombres podría crear, ver actualizar o eliminar el recurso de ámbito de clúster (según sus privilegios de rol de espacio de nombres). Las versiones afectadas de Kubernetes incluyen versiones anteriores a 1.13.9, versiones anteriores a 1.14.5, versiones anteriores a 1.15.2 y versiones 1.7, 1.8, 1.9, 1.10, 1.11, 1.12.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:kubernetes:kubernetes:*:*:*:*:*:*:*:* 1.7.0 (incluyendo) 1.12.10 (incluyendo)
cpe:2.3:a:kubernetes:kubernetes:*:*:*:*:*:*:*:* 1.13.0 (incluyendo) 1.13.9 (excluyendo)
cpe:2.3:a:kubernetes:kubernetes:*:*:*:*:*:*:*:* 1.14.0 (incluyendo) 1.14.5 (excluyendo)
cpe:2.3:a:kubernetes:kubernetes:*:*:*:*:*:*:*:* 1.15.0 (incluyendo) 1.15.2 (excluyendo)
cpe:2.3:a:kubernetes:kubernetes:1.12.11:beta0:*:*:*:*:*:*
cpe:2.3:a:redhat:openshift_container_platform:3.9:*:*:*:*:*:*:*
cpe:2.3:a:redhat:openshift_container_platform:3.10:*:*:*:*:*:*:*
cpe:2.3:a:redhat:openshift_container_platform:3.11:*:*:*:*:*:*:*