Vulnerabilidad en Weave GitOps (CVE-2022-23509)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-319 Transmisión de información sensible en texto claro

Fecha de publicación:

09/01/2023

Última modificación:

07/11/2023

Descripción

Weave GitOps es una sencilla plataforma de desarrollo de código abierto para personas que desean aplicaciones nativas de la nube, sin necesidad de experiencia en Kubernetes. La ejecución de GitOps tiene un depósito S3 local que utiliza para sincronizar archivos que luego se aplican en un clúster de Kubernetes. La comunicación entre GitOps Run y el depósito S3 local no está cifrada. Esto permite a los usuarios o procesos privilegiados aprovechar el tráfico local para obtener información que permita el acceso al depósito s3. A partir de ese punto, sería posible alterar el contenido del depósito, lo que daría como resultado cambios en los recursos del clúster de Kubernetes. No se conocen workarounds para esta vulnerabilidad. Esta vulnerabilidad se solucionó mediante las confirmaciones ce2bbff y babd915. Los usuarios deben actualizar a la versión Weave GitOps &gt;= v0.12.0 lanzada el 12/08/2022.

Impacto

Vector 3.x

CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.00 MEDIA
Vector: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno