Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Kubernetes (CVE-2024-7598)

Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-362 Ejecución concurrente utilizando recursos compartidos con una incorrecta sincronización (Condición de carrera)
Fecha de publicación:
20/03/2025
Última modificación:
20/03/2025

Descripción

Se detectó un problema de seguridad en Kubernetes donde un pod malicioso o comprometido podía eludir las restricciones de red impuestas por las políticas de red durante la eliminación de un espacio de nombres. El orden en que se eliminan los objetos durante la terminación de un espacio de nombres no está definido, y es posible que las políticas de red se eliminen antes que los pods que protegen. Esto puede provocar que los pods se ejecuten brevemente, pero que no se apliquen las políticas de red que deberían aplicarse a las conexiones hacia y desde ellos.

Impacto

Vector 3.x
CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 3.10 BAJA
Vector: CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N

Vector de acceso (AV): Red adyacente
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
3.10
Gravedad 3.x
BAJA

Referencias a soluciones, herramientas e información