PT-2021-6462 · Unknown+2 · Kube-Apiserver+2
Ari Lima
+1
·
Publicado
2021-03-10
·
Atualizado
2025-08-08
·
CVE-2021-25735
CVSS v2.0
8.5
Alta
| Vetor | AV:N/AC:L/Au:S/C:N/I:C/A:C |
Nome do software vulnerável e versões afetadas
kube-apiserver (versões afetadas não especificadas)
Descrição
Foi descoberta uma falha de segurança no kube-apiserver que poderia permitir que atualizações de nós contornassem um Webhook de Validação de Admissão. Os clusters só são afetados por essa vulnerabilidade se executarem um Webhook de Validação de Admissão para Nós que negue a admissão com base, pelo menos parcialmente, no estado antigo do objeto Nodo. A vulnerabilidade pode ser explorada quando uma ação de atualização nos recursos do nó é realizada e um controlador de admissão está em vigor e configurado para validar a ação. As informações fornecidas ao controlador de admissão podem conter configurações antigas que sobrescrevem valores usados para validação. Como a sobrescrita ocorre antes da validação, isso pode levar o controlador de admissão a aceitar solicitações que deveriam ser bloqueadas.
Recomendações
Como solução alternativa temporária, considere desativar o Webhook de Validação de Admissão para Nós até que um patch esteja disponível.
Restrinja o acesso à funcionalidade de atualização de nós para minimizar o risco de exploração.
Evite usar o estado antigo do objeto Nodo no processo de validação do controlador de admissão até que o problema seja resolvido.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Improper Access Control
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Kubernetes
Kube-Apiserver