PT-2022-5970 · Red Hat · Red Hat Advanced Cluster Security For Kubernetes+1
Oleg Sushchenko
·
Publicado
2022-11-02
·
Atualizado
2023-01-20
·
CVE-2022-3841
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Red Hat Advanced Cluster Management for Kubernetes (RHACM) (versões afetadas não especificadas)
Red Hat Advanced Cluster Security (RHACS) for Kubernetes (versões afetadas não especificadas)
Descrição
O problema está relacionado a uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF), que pode permitir que um invasor eleve privilégios e obtenha acesso não autorizado a informações protegidas. Foi encontrada uma vulnerabilidade SSRF não autenticada no endpoint da API do console, sem verificação de autenticação, permitindo que usuários não autenticados façam solicitações.
Recomendações
Para o Red Hat Advanced Cluster Management for Kubernetes (RHACM), considere restringir o acesso ao endpoint da API do console até que uma correção esteja disponível.
Para o Red Hat Advanced Cluster Security (RHACS) para Kubernetes, como solução alternativa temporária, considere desativar a funcionalidade vulnerável relacionada à falsificação de solicitação do lado do servidor até que uma correção esteja disponível.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Authentication Bypass Using an Alternate Path or Channel
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Red Hat Advanced Cluster Management For Kubernetes
Red Hat Advanced Cluster Security For Kubernetes