PT-2022-23178 · Kubevela · Kubevela
Fogdong
·
Publicado
2022-09-07
·
Atualizado
2022-09-16
·
CVE-2022-36089
CVSS v3.1
8.2
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do KubeVela anteriores à 1.4.11 e à 1.5.4
Descrição
O KubeVela é uma plataforma de entrega de aplicativos que pode ser afetada por uma falha de contorno de autenticação. O VelaUX APIServer usa o
PlatformID como chave assinada para gerar tokens JWT para os usuários. A API getSystemInfo expõe o platformID, permitindo que os usuários regenerem tokens JWT e contornem a autenticação.Recomendações
Para versões anteriores à 1.4.11, atualize para a versão 1.4.11 ou posterior.
Para versões anteriores à 1.5.4, atualize para a versão 1.5.4 ou posterior.
Como solução alternativa temporária, considere restringir o acesso à API
getSystemInfo para minimizar o risco de exploração.Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Kubevela