PT-2022-4594 · Flux · Flux
Pjbgf
·
Publicado
2022-08-31
·
Atualizado
2024-08-21
·
CVE-2022-36035
CVSS v3.1
7.7
Alta
| Vetor | AV:L/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Flux (versões afetadas não especificadas)
Descrição
O problema está relacionado ao tratamento inadequado de entradas fornecidas pelo usuário na CLI do Flux, o que resulta em um traversal de caminho que pode ser controlado pelo invasor. Isso permite que outras aplicações substituam as informações de implantação do Flux por conteúdo arbitrário, que é então implantado no cluster Kubernetes de destino. Usuários que compartilham o mesmo shell entre outras aplicações e os comandos da CLI do Flux podem ser afetados por este problema. Em alguns cenários, podem não ser apresentados erros, o que pode fazer com que os usuários finais não percebam que algo está errado.
Recomendações
Como solução alternativa temporária, considere executar a CLI do Flux em ambientes de shell efémeros e isolados para garantir que não existam valores persistentes de processos anteriores.
A atualização para a versão mais recente da CLI continua sendo a estratégia de mitigação recomendada.
Exploit
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Flux