Vulnerabilidad en los nombres de los plugins en Helm (CVE-2020-15186)
Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-74
Neutralización incorrecta de elementos especiales en la salida utilizada por un componente interno (Inyección)
Fecha de publicación:
17/09/2020
Última modificación:
18/11/2021
Descripción
En Helm versiones anteriores a 2.16.11 y 3.3.2, los nombres de los plugins no son saneados apropiadamente. Como resultado, un autor de plugin malicioso podría usar caracteres en un nombre de plugin que resultaría en un comportamiento inesperado, como duplicar el nombre de otro plugin o falsificar la salida en "helm --help". Este problema ha sido corregido en Helm versión 3.3.2. Una posible solución es no instalar plugins de Helm que no son de confianza. Examine el campo "name" en el archivo "plugin.yaml" en busca de un plugin, buscando caracteres fuera del rango [a-zA-Z0-9 ._-]
Impacto
Puntuación base 3.x
2.70
Gravedad 3.x
BAJA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:helm:helm:*:*:*:*:*:*:*:* | 2.0.0 (incluyendo) | 2.16.11 (excluyendo) |
| cpe:2.3:a:helm:helm:*:*:*:*:*:*:*:* | 3.0.0 (incluyendo) | 3.3.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página