PT-2022-5431 · Unknown+3 · Kubernetes+2

Richard Turnbull

·

Publicado

2022-11-10

·

Atualizado

2025-08-08

·

CVE-2022-3162

CVSS v2.0

6.8

Média

VetorAV:N/AC:L/Au:S/C:C/I:N/A:N
Nome do software vulnerável e versões afetadas
Kubernetes (versões afetadas não especificadas)
Descrição
O problema está relacionado a um controle de acesso insuficiente no Kubernetes, permitindo que usuários autorizados a listar ou monitorar um tipo de recurso personalizado com namespace em todo o cluster leiam recursos personalizados de um tipo diferente no mesmo grupo de API sem autorização. Isso afeta clusters com 2 ou mais CustomResourceDefinitions que compartilham o mesmo grupo de API, nos quais os usuários têm autorização para listar ou monitorar em todo o cluster um recurso personalizado, mas não outro no mesmo grupo de API.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Improper Access Control

Path traversal

Relative Path Traversal

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-284CWE-22CWE-23

Identificadores relacionados

ALT-PU-2022-3314
ALT-PU-2023-1321
ALT-PU-2023-1520
ALT-PU-2023-1529
AZL-13780
AZL-13781
AZL-13782
AZL-13783
AZL-25938
AZL-31287
AZL-34838
BDU:2022-06757
CVE-2022-3162
GHSA-2394-5535-8J88
GO-2023-1628
OESA-2023-1413
OESA-2023-1414
OESA-2023-1415
OESA-2023-1416
OPENSUSE-SU-2024:12781-1
OPENSUSE-SU-2024:12810-1
OPENSUSE-SU-2025:15424-1
RHSA-2022:7398
RHSA-2023:0772
SUSE-SU-2023:2292-1

Produtos afetados

Alt Linux
Kubernetes
Suse