CVE-2023-33190

Опубликовано: 29 июн. 2023

Источник: nvd

CVSS3: 9.9

CVSS3: 9.8

EPSS Низкий

Описание

Sealos is an open source cloud operating system distribution based on the Kubernetes kernel. In versions of Sealos prior to 4.2.1-rc4 an improper configuration of role based access control (RBAC) permissions resulted in an attacker being able to obtain cluster control permissions, which could control the entire cluster deployed with Sealos, as well as hundreds of pods and other resources within the cluster. This issue has been addressed in version 4.2.1-rc4. Users are advised to upgrade. There are no known workarounds for this vulnerability.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:o:sealos_project:sealos:*:*:*:*:*:*:*:*

Версия до 4.2.1 (исключая)

cpe:2.3:o:sealos_project:sealos:4.2.1:rc1:*:*:*:*:*:*

cpe:2.3:o:sealos_project:sealos:4.2.1:rc2:*:*:*:*:*:*

cpe:2.3:o:sealos_project:sealos:4.2.1:rc3:*:*:*:*:*:*

EPSS

Процентиль: 38%

0.00166

Низкий

9.9 Critical

CVSS3

9.8 Critical

CVSS3

Дефекты

CWE-287

CWE-863

Связанные уязвимости

GHSA-74j8-w7f9-pp62

CVSS3: 9.9

github

больше 2 лет назад

Improper configuration of RBAC permissions obtaining cluster control permissions

BDU:2023-03618

CVSS3: 9.9

fstec

больше 2 лет назад

Уязвимость операционных систем для управления облачными приложениями Sealos, связанная с недостатками процедуры аутентификации, позволяющая нарушителю повысить свои привилегии и получить полный контроль над приложением

EPSS

Процентиль: 38%

0.00166

Низкий

9.9 Critical

CVSS3

9.8 Critical

CVSS3

Дефекты

CWE-287

CWE-863