Vulnerabilidad en Kyverno para Kubernetes (CVE-2022-47633)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-287
Autenticación incorrecta
Fecha de publicación:
23/12/2022
Última modificación:
15/04/2025
Descripción
Una vulnerabilidad de omisión de validación de firma de imagen en Kyverno 1.8.3 y 1.8.4 permite que un registro de imágenes malicioso (o un atacante intermediario) inyecte imágenes de contenedores arbitrarias sin firmar en un clúster de Kubernetes protegido. Esto se solucionó en 1.8.5. Esto se solucionó en 1.8.5 y hay mitigaciones disponibles para las versiones afectadas.
Impacto
Puntuación base 3.x
8.10
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:kyverno:kyverno:1.8.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:kyverno:kyverno:1.8.4:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/kyverno/kyverno/compare/v1.8.4...v1.8.5
- https://github.com/kyverno/kyverno/pull/5713
- https://github.com/kyverno/kyverno/releases/tag/v1.8.5
- https://github.com/kyverno/kyverno/security/advisories/GHSA-m3cq-xcx9-3gvm
- https://kyverno.io/docs/writing-policies/verify-images/
- https://github.com/kyverno/kyverno/compare/v1.8.4...v1.8.5
- https://github.com/kyverno/kyverno/pull/5713
- https://github.com/kyverno/kyverno/releases/tag/v1.8.5
- https://github.com/kyverno/kyverno/security/advisories/GHSA-m3cq-xcx9-3gvm
- https://kyverno.io/docs/writing-policies/verify-images/