Vulnerabilidad en el análisis de YAML en el cliente de Kubernetes Fabric 8 (CVE-2021-4178)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-502
Deserialización de datos no confiables
Fecha de publicación:
24/08/2022
Última modificación:
04/10/2022
Descripción
Se ha encontrado un fallo de ejecución de código arbitrario en el cliente de Kubernetes Fabric 8 afectando a versiones 5.0.0-beta-1 y superiores. Debido a una configuración incorrecta del análisis de YAML, esto permitirá a un atacante local y con privilegios suministrar YAML malicioso.
Impacto
Puntuación base 3.x
6.70
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:redhat:fabric8-kubernetes:*:*:*:*:*:*:*:* | 5.0.1 (incluyendo) | 5.0.3 (excluyendo) |
| cpe:2.3:a:redhat:fabric8-kubernetes:*:*:*:*:*:*:*:* | 5.1.0 (incluyendo) | 5.1.2 (excluyendo) |
| cpe:2.3:a:redhat:fabric8-kubernetes:*:*:*:*:*:*:*:* | 5.2.0 (incluyendo) | 5.3.2 (excluyendo) |
| cpe:2.3:a:redhat:fabric8-kubernetes:*:*:*:*:*:*:*:* | 5.5.0 (incluyendo) | 5.7.4 (excluyendo) |
| cpe:2.3:a:redhat:fabric8-kubernetes:*:*:*:*:*:*:*:* | 5.9.0 (incluyendo) | 5.10.2 (excluyendo) |
| cpe:2.3:a:redhat:fabric8-kubernetes:*:*:*:*:*:*:*:* | 5.11.0 (incluyendo) | 5.11.2 (excluyendo) |
| cpe:2.3:a:redhat:fabric8-kubernetes:5.0.0:beta1:*:*:*:*:*:* | ||
| cpe:2.3:a:redhat:fabric8-kubernetes:5.8.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:redhat:a-mq_streams:2.0.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:redhat:build_of_quarkus:2.2.5:*:*:*:*:*:*:* | ||
| cpe:2.3:a:redhat:descision_manager:7.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:redhat:fuse:7.11:*:*:*:*:*:*:* | ||
| cpe:2.3:a:redhat:integration_camel_k:-:*:*:*:*:*:*:* | ||
| cpe:2.3:a:redhat:integration_camel_quarkus:2.2.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:redhat:openshift_application_runtimes:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página