CVE-2019-1000008

Опубликовано: 04 фев. 2019

Источник: nvd

CVSS3: 6.5

CVSS2: 4.3

EPSS Низкий

Описание

All versions of Helm between Helm >=2.0.0 and < 2.12.2 contains a CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') vulnerability in The commands helm fetch --untar and helm lint some.tgz that can result when chart archive files are unpacked a file may be unpacked outside of the target directory. This attack appears to be exploitable via a victim must run a helm command on a specially crafted chart archive. This vulnerability appears to have been fixed in 2.12.2.

Ссылки

https://helm.sh/blog/helm-security-notice-2019/index.html
Exploit
Mitigation
Vendor Advisory
https://helm.sh/blog/helm-security-notice-2019/index.html
Exploit
Mitigation
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:helm:helm:*:*:*:*:*:*:*:*

Версия от 2.0.0 (включая) до 2.12.2 (исключая)

EPSS

Процентиль: 46%

0.0023

Низкий

6.5 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-22

Связанные уязвимости

CVE-2019-1000008

CVSS3: 6.5

debian

около 7 лет назад

All versions of Helm between Helm >=2.0.0 and < 2.12.2 contains a CWE- ...

GHSA-xrxm-mvqm-r553

CVSS3: 6.5

github

больше 3 лет назад

Helm Path Traversal

BDU:2020-04871

CVSS3: 6.5

fstec

около 7 лет назад

Уязвимость пакетного менеджера Helm, существующая из-за неверного ограничения имени пути к каталогу с ограниченным доступом, позволяющая нарушителю выполнить распаковку файлов архива диаграмм за пределами целевого каталога

EPSS

Процентиль: 46%

0.0023

Низкий

6.5 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-22