Описание
In Minikube versions 0.3.0-0.29.0, minikube exposes the Kubernetes Dashboard listening on the VM IP at port 30000. In VM environments where the IP is easy to predict, the attacker can use DNS rebinding to indirectly make requests to the Kubernetes Dashboard, create a new Kubernetes Deployment running arbitrary code. If minikube mount is in use, the attacker could also directly access the host filesystem.
Ссылки
- Issue TrackingMitigationThird Party Advisory
- Issue TrackingMitigationThird Party Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 0.3.0 (включая) до 0.29.0 (включая)
cpe:2.3:a:kubernetes:minikube:*:*:*:*:*:*:*:*
EPSS
Процентиль: 39%
0.00175
Низкий
8.1 High
CVSS3
8.8 High
CVSS3
6.8 Medium
CVSS2
Дефекты
CWE-352
Связанные уязвимости
CVSS3: 8.1
fstec
около 7 лет назад
Уязвимость утилиты для командной строки minikube, связанная с ошибками управления привилегиями, позволяющая нарушителю выполнить произвольный код
EPSS
Процентиль: 39%
0.00175
Низкий
8.1 High
CVSS3
8.8 High
CVSS3
6.8 Medium
CVSS2
Дефекты
CWE-352