Vulnerabilidad en Flux (CVE-2022-39272)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
22/10/2022
Última modificación:
07/11/2023
Descripción
Flux es una solución de entrega continua abierta y extensible para Kubernetes. Las versiones anteriores a 0.35.0, están sujetas a una denegación de servicio. Los usuarios que presentan permisos para cambiar los objetos de Flux, ya sea medainyte una fuente de Flux o directamente dentro de un clúster, pueden proporcionar datos no válidos a los campos ".spec.interval" o ".spec.timeout" (y variaciones estructuradas de estos campos), causando que todo el tipo de objeto deje de ser procesado. Este problema ha sido corregido en versión 0.35.0. Como mitigación, pueden emplearse controladores de admisión para restringir los valores que pueden usarse para los campos ".spec.interval" y ".spec.timeout", aunque la actualización a las últimas versiones sigue siendo la mitigación recomendada
Impacto
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:fluxcd:flux2:*:*:*:*:*:*:*:* | 0.1.0 (incluyendo) | 0.35.0 (excluyendo) |
cpe:2.3:a:fluxcd:helm-controller:*:*:*:*:*:*:*:* | 0.0.2 (incluyendo) | 0.24.0 (excluyendo) |
cpe:2.3:a:fluxcd:helm-controller:0.0.1:alpha1:*:*:*:*:*:* | ||
cpe:2.3:a:fluxcd:helm-controller:0.0.1:alpha2:*:*:*:*:*:* | ||
cpe:2.3:a:fluxcd:helm-controller:0.0.1:beta1:*:*:*:*:*:* | ||
cpe:2.3:a:fluxcd:helm-controller:0.0.1:beta2:*:*:*:*:*:* | ||
cpe:2.3:a:fluxcd:helm-controller:0.0.1:beta3:*:*:*:*:*:* | ||
cpe:2.3:a:fluxcd:helm-controller:0.0.1:beta4:*:*:*:*:*:* | ||
cpe:2.3:a:fluxcd:image-automation-controller:*:*:*:*:*:*:*:* | 0.1.0 (incluyendo) | 0.26.0 (excluyendo) |
cpe:2.3:a:fluxcd:image-reflector-controller:*:*:*:*:*:*:*:* | 0.1.0 (incluyendo) | 0.22.0 (excluyendo) |
cpe:2.3:a:fluxcd:kustomize-controller:*:*:*:*:*:*:*:* | 0.0.2 (incluyendo) | 0.29.0 (excluyendo) |
cpe:2.3:a:fluxcd:kustomize-controller:0.0.1:alpha1:*:*:*:*:*:* | ||
cpe:2.3:a:fluxcd:kustomize-controller:0.0.1:alpha2:*:*:*:*:*:* | ||
cpe:2.3:a:fluxcd:kustomize-controller:0.0.1:alpha3:*:*:*:*:*:* | ||
cpe:2.3:a:fluxcd:kustomize-controller:0.0.1:alpha4:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página