Vulnerabilidad en kro (CVE-2025-48710)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
04/06/2025
Última modificación:
04/06/2025
Descripción
kro (Kube Resource Orchestrator) 0.1.0 anterior a 0.2.1 permite a los usuarios (con permiso para crear o modificar recursos ResourceGraphDefinition) proporcionar imágenes de contenedor arbitrarias. Esto puede generar un escenario de subordinación confusa donde los controladores de kro implementan y ejecutan imágenes controladas por atacantes, lo que resulta en la ejecución remota de código no autenticado en los nodos del clúster.
Impacto
Puntuación base 3.x
4.10
Gravedad 3.x
MEDIA