Vulnerabilidad en AAD Pod Identity (CVE-2022-23551)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

21/12/2022

Última modificación:

04/01/2023

Descripción

aad-pod-identity asigna identidades de Azure Active Directory a aplicaciones de Kubernetes y ahora quedó obsoleto a partir del 24 de octubre de 2022. El componente NMI en AAD Pod Identity intercepta y valida solicitudes de token según expresiones regulares. En este caso, una solicitud de token realizada con una barra invertida en la solicitud (ejemplo: `/metadata/identity\oauth2\token/`) omitirá la validación de NMI y se enviará a IMDS, lo que permitirá que un pod en el clúster acceda a identidades a las que no debería tener acceso. Este problema se solucionó y se incluyó en la versión 1.8.13 de AAD Pod Identity. Si utiliza el complemento de identidades administradas por pods de AKS, no es necesario realizar ninguna acción. Los clústeres ahora deberían ejecutar la versión 1.8.13.

Impacto

Vector 3.x

CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:U/C:L/I:H/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:U/C:L/I:H/A:L

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Bajo