PT-2020-13972 · Kubevirt · Kubevirt
Stoyan Nikolov
·
Publicado
2020-07-29
·
Atualizado
2024-06-04
·
CVE-2020-14316
CVSS v3.1
9.9
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
kubevirt versões 0.29 e anteriores
Descrição
Uma falha no kubevirt permite que Instâncias de Máquina Virtual (VMIs) sejam usadas para obter acesso ao sistema de arquivos do host. A exploração bem-sucedida permite que um invasor assuma os privilégios do processo da VM no sistema host, podendo ler e modificar qualquer arquivo no sistema onde a VMI está em execução. Isso representa uma ameaça significativa à confidencialidade e integridade dos dados, bem como à disponibilidade do sistema.
Recomendações
Para as versões 0.29 e anteriores do kubevirt, considere restringir o acesso às Instâncias de Máquina Virtual (VMIs) para minimizar o risco de exploração até que um patch esteja disponível.
Como solução alternativa temporária, considere implementar medidas de segurança adicionais para limitar os privilégios do processo da VM no sistema host.
Correção
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Kubevirt