BDU:2022-03563

Опубликовано: 22 фев. 2022

Источник: fstec

CVSS3: 8.8

CVSS2: 9

EPSS Низкий

Описание

Уязвимость модуля прокси capsule-proxy программного средства Capsule для обеспечения мультитенантности в Kubernetes связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии

Вендор

Clastix

Наименование ПО

capsule-proxy

Версия ПО

до 0.2.1 (capsule-proxy)

Тип ПО

Сетевое средство

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://github.com/clastix/capsule-proxy/commit/efe91f68ebf8a9e3d21491dc57da7b8a746415d8

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-23652
CVE

EPSS

Процентиль: 59%

0.00385

Низкий

8.8 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

CVE-2022-23652

CVSS3: 8.8

nvd

почти 4 года назад

capsule-proxy is a reverse proxy for Capsule Operator which provides multi-tenancy in Kubernetes. In versions prior to 0.2.1 an attacker with a proper authentication mechanism may use a malicious `Connection` header to start a privilege escalation attack towards the Kubernetes API Server. This vulnerability allows for an exploit of the `cluster-admin` Role bound to `capsule-proxy`. There are no known workarounds for this issue.

GHSA-9cwv-cppx-mqjm

CVSS3: 8.8

github

почти 4 года назад

Improper Authentication in Capsule Proxy

EPSS

Процентиль: 59%

0.00385

Низкий

8.8 High

CVSS3

9 Critical

CVSS2