CVE-2020-15185
Gravedad CVSS v3.1:
BAJA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
17/09/2020
Última modificación:
05/08/2022
Descripción
En Helm versiones anteriores a 2.16.11 y 3.3.2, un repositorio de Helm puede contener duplicados del mismo gráfico, y siempre se usa el último. Si un repositorio está comprometido, esto reduce el nivel de acceso que necesita un atacante para inyectar un gráfico incorrecto en un repositorio. Para llevar a cabo este ataque, un atacante necesita tener acceso de escritura al archivo de index (lo que puede ocurrir durante un ataque MITM en una conexión no SSL). Este problema ha sido corregido en Helm versiones 3.3.2 y 2.16.11. Una posible solución es revisar manualmente el archivo index en la caché del repositorio de Helm antes de instalar el software
Impacto
Puntuación base 3.x
2.70
Gravedad 3.x
BAJA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:helm:helm:*:*:*:*:*:*:*:* | 2.0.0 (incluyendo) | 2.16.11 (excluyendo) |
| cpe:2.3:a:helm:helm:*:*:*:*:*:*:*:* | 3.0.0 (incluyendo) | 3.3.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página