PT-2022-7292 · Cri-O+2 · Cri-O+2
Steven J. Murdoch
·
Publicado
2022-09-19
·
Atualizado
2025-05-29
·
CVE-2022-2995
CVSS v3.1
7.1
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
CRI-O (versões afetadas não especificadas)
Descrição
O problema está relacionado ao tratamento incorreto de grupos suplementares no mecanismo de contêiner CRI-O, o que pode levar à divulgação de informações confidenciais ou à possível modificação de dados. Isso pode ocorrer se um invasor tiver acesso direto ao contêiner afetado, onde grupos suplementares são usados para definir permissões de acesso, e for capaz de executar código binário nesse contêiner. A vulnerabilidade está associada ao controle inadequado de acesso e pode permitir que um invasor divulgue informações confidenciais ou modifique dados arbitrários. Em alguns casos, também pode permitir a escalada de privilégios dentro do contêiner. O problema surge quando programas SGID são executados em um contêiner, permitindo potencialmente o acesso a arquivos com permissões de grupo negativas para o grupo primário do usuário.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Incorrect Permission
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Cri-O
Red Os