Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-03905

Опубликовано: 10 апр. 2024
Источник: fstec
CVSS3: 8.8
CVSS2: 9
EPSS Низкий

Описание

Уязвимость программного средства создания локальных копий удаленного реестра образов контейнеров Mirror registry for Red Hat OpenShift связана с незашифрованным хранением критичной информации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, создать сеансовые файлы cookie и получить несанкционированный доступ к затронутому экземпляру Quay

Вендор

Red Hat Inc.

Наименование ПО

Mirror registry for Red Hat OpenShift

Версия ПО

- (Mirror registry for Red Hat OpenShift)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- ограничение доступа к файлам конфигурации;
- использование средств обнаружения и предотвращения вторжений для отслеживания индикаторов компрометации;
- использование антивирусных средств защиты для отслеживания средств эксплуатации уязвимостей;
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удаленного доступа.
Организационные меры:
1. Ограничить использование программного средства
2. Использование аналогичного программного средства

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 31%
0.00118
Низкий

8.8 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

redhat логотип

CVE-2024-3622

CVSS3: 8.8
redhat
почти 2 года назад

A flaw was found when using mirror-registry to install Quay. It uses a default secret, which is stored in plain-text format in one of the configuration template files. This issue may lead to all instances of Quay deployed using mirror-registry to have the same secret key. This flaw allows a malicious actor to craft session cookies and as a consequence, it may lead to gaining access to the affected Quay instance.

nvd логотип

CVE-2024-3622

CVSS3: 8.8
nvd
почти 2 года назад

A flaw was found when using mirror-registry to install Quay. It uses a default secret, which is stored in plain-text format in one of the configuration template files. This issue may lead to all instances of Quay deployed using mirror-registry to have the same secret key. This flaw allows a malicious actor to craft session cookies and as a consequence, it may lead to gaining access to the affected Quay instance.

github логотип

GHSA-mxf6-v5wp-cvxx

CVSS3: 8.8
github
почти 2 года назад

A flaw was found when using mirror-registry to install Quay. It uses a default secret, which is stored in plain-text format in one of the configuration template files. This issue may lead to all instances of Quay deployed using mirror-registry to have the same secret key. This flaw allows a malicious actor to craft session cookies and as a consequence, it may lead to gaining access to the affected Quay instance.

EPSS

Процентиль: 31%
0.00118
Низкий

8.8 High

CVSS3

9 Critical

CVSS2