PT-2020-14258 · Helm+2 · Helm+2
Lowbacongobbler
·
Publicado
2020-09-17
·
Atualizado
2025-05-29
·
CVE-2020-15187
CVSS v2.0
6.5
Média
| Vetor | AV:N/AC:L/Au:S/C:P/I:P/A:P |
Nome do software vulnerável e versões afetadas
Versões do Helm anteriores à 2.16.11
Versões do Helm anteriores à 3.3.2
Descrição
Um plugin do Helm pode conter duplicatas da mesma entrada, sendo sempre utilizada a última. Se um plugin for comprometido, isso reduz o nível de acesso necessário para que um invasor modifique os ganchos de instalação do plugin, causando um ataque de execução local. Para realizar esse ataque, o invasor deve ter acesso de gravação ao repositório git ou ao arquivo do plugin (.tgz) durante o download, o que pode ocorrer durante um ataque MITM em uma conexão não SSL.
Recomendações
Para versões do Helm anteriores à 2.16.11, atualize para a versão 2.16.11 ou posterior.
Para versões do Helm anteriores à 3.3.2, atualize para a versão 3.3.2 ou posterior.
Como solução alternativa temporária, considere instalar plug-ins usando um protocolo de conexão seguro, como SSL, para minimizar o risco de exploração.
Correção
Special Elements Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Helm
Suse