Vulnerabilidad en un archivo "Chart.yaml" en un gráfico en el campo "alias" en Helm (CVE-2020-15184)
Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-74
Neutralización incorrecta de elementos especiales en la salida utilizada por un componente interno (Inyección)
Fecha de publicación:
17/09/2020
Última modificación:
18/11/2021
Descripción
En Helm versiones anteriores a 2.16.11 y 3.3.2, se presenta un error en el que el campo "alias" en un archivo "Chart.yaml" no es saneado apropiadamente. Esto podría conllevar a la inyección de información no deseada en un gráfico. Este problema ha sido corregido en Helm versiones 3.3.2 y 2.16.11. Una posible solución es revisar manualmente que el campo "dependencies" de cualquier gráfico no sea de confianza, verificando que el campo "alias" no sea usado o (si se utiliza) no contenga nuevas líneas o caracteres de ruta
Impacto
Puntuación base 3.x
2.70
Gravedad 3.x
BAJA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:helm:helm:*:*:*:*:*:*:*:* | 2.0.0 (incluyendo) | 2.16.11 (excluyendo) |
| cpe:2.3:a:helm:helm:*:*:*:*:*:*:*:* | 3.0.0 (incluyendo) | 3.3.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página