PT-2021-14852 · Unknown · Cloud Controller
Publicado
2021-10-27
·
Atualizado
2021-10-29
·
CVE-2021-22101
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do Cloud Controller anteriores à 1.118.0
Descrição
A vulnerabilidade permite que invasores não autenticados provoquem uma negação de serviço ao utilizar solicitações HTTP REST com
label selectors em vários pontos de extremidade V3, gerando uma consulta SQL de grande porte. Isso pode resultar em uma negação de serviço.Recomendações
Para versões do Cloud Controller anteriores à 1.118.0, atualize para a versão 1.118.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso aos endpoints V3 ou limitar o uso de
label selectors em solicitações REST HTTP até que um patch esteja disponível.Correção
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cloud Controller