Vulnerabilidad en KubePi de GitHub (CVE-2023-22463)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-798
Credenciales embebidas en el software
Fecha de publicación:
04/01/2023
Última modificación:
10/01/2023
Descripción
KubePi es un panel de k8s. La función de autenticación jwt de KubePi hasta la versión 1.6.2 utiliza Jwtsigkeys codificadas, lo que da como resultado las mismas Jwtsigkeys para todos los proyectos en línea. Esto significa que un atacante puede falsificar cualquier token jwt para hacerse cargo de la cuenta de administrador de cualquier proyecto en línea. Además, pueden utilizar el administrador para hacerse cargo del clúster k8s de la empresa de destino. `session.go`, el uso de JwtSigKey codificado, permite a un atacante usar este valor para falsificar tokens jwt de forma arbitraria. La JwtSigKey es confidencial y no debe estar codificada en el código. La vulnerabilidad se ha solucionado en 1.6.3. En el parche, la clave JWT se especifica en app.yml. Si el usuario lo deja en blanco, se utilizará una clave aleatoria. No existen workarounds aparte de la actualización.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:fit2cloud:kubepi:*:*:*:*:*:*:*:* | 1.6.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/KubeOperator/KubePi/blob/da784f5532ea2495b92708cacb32703bff3a45a3/internal/api/v1/session/session.go#L35
- https://github.com/KubeOperator/KubePi/commit/3be58b8df5bc05d2343c30371dd5fcf6a9fbbf8b
- https://github.com/KubeOperator/KubePi/releases/tag/v1.6.3
- https://github.com/KubeOperator/KubePi/security/advisories/GHSA-vjhf-8vqx-vqpq