CVE-2023-46741

Versões do CubeFS anteriores à 3.3.1

Foi identificada uma vulnerabilidade no CubeFS que poderia permitir que usuários lessem dados confidenciais dos logs, o que, por sua vez, poderia permitir a escalada de privilégios. O CubeFS vaza chaves de configuração em formato de texto simples nos logs. Essas chaves poderiam permitir que qualquer pessoa realizasse operações em blobs para as quais, de outra forma, não teria permissões. Por exemplo, um invasor que tenha recuperado com sucesso uma chave secreta dos logs pode excluir blobs do armazenamento de blobs. O invasor pode ser um usuário interno com privilégios limitados para ler o log ou um usuário externo que tenha escalado privilégios o suficiente para acessar os logs. Não há evidências de que essa vulnerabilidade tenha sido explorada na prática.

Para versões do CubeFS anteriores à 3.3.1, a medida de mitigação recomendada é atualizar para a versão 3.3.1 ou posterior, pois a vulnerabilidade foi corrigida nessa versão. Não há outra medida de mitigação além da atualização. Como solução alternativa temporária, considere restringir o acesso aos logs para minimizar o risco de exploração. Além disso, considere desativar quaisquer recursos que dependam das chaves de configuração vazadas até que o problema seja resolvido.