Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-05471

Опубликовано: 31 авг. 2022
Источник: fstec
CVSS3: 7.7
CVSS2: 6.8
EPSS Низкий

Описание

Уязвимость интерфейса командной строки (CLI) программного средства синхронизации кластеров Kubernetes с источниками конфигурации Flux связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю прочитать или записать произвольные файлы в системе

Вендор

The Flux

Наименование ПО

Flux

Версия ПО

до 0.32.0 (Flux)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,7)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/fluxcd/flux2/releases/tag/v0.32.0

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 16%
0.00051
Низкий

7.7 High

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2022-36035

CVSS3: 7.7
nvd
почти 3 года назад

Flux is a tool for keeping Kubernetes clusters in sync with sources of configuration (like Git repositories), and automating updates to configuration when there is new code to deploy. Flux CLI allows users to deploy Flux components into a Kubernetes cluster via command-line. The vulnerability allows other applications to replace the Flux deployment information with arbitrary content which is deployed into the target Kubernetes cluster instead. The vulnerability is due to the improper handling of user-supplied input, which results in a path traversal that can be controlled by the attacker. Users sharing the same shell between other applications and the Flux CLI commands could be affected by this vulnerability. In some scenarios no errors may be presented, which may cause end users not to realize that something is amiss. A safe workaround is to execute Flux CLI in ephemeral and isolated shell environments, which can ensure no persistent values exist from previous processes. However, upgr

github логотип

GHSA-xwf3-6rgv-939r

CVSS3: 7.7
github
почти 3 года назад

Flux CLI Workload Injection

EPSS

Процентиль: 16%
0.00051
Низкий

7.7 High

CVSS3

6.8 Medium

CVSS2