PT-2024-13887 · Laf · Laf

Dvkunion

·

Publicado

2024-01-03

·

Atualizado

2024-01-11

·

CVE-2023-50253

CVSS v3.1

9.6

Crítica

VetorAV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões 1.0.0-beta.13 e anteriores do Laf
Descrição
O Laf é uma plataforma de desenvolvimento em nuvem que utiliza comunicação com o k8s para recuperar rapidamente logs do contêiner sem a necessidade de armazenamento adicional. No entanto, a interface não verifica as permissões do pod, o que permite que usuários autenticados obtenham quaisquer logs de pods no mesmo namespace por meio desse método, obtendo assim informações confidenciais contidas nos logs.
Recomendações
Para as versões 1.0.0-beta.13 e anteriores, como solução temporária, considere restringir o acesso à interface de recuperação de logs para minimizar o risco de exploração.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Exploit

Information Disclosure

Insertion into Log File

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-200CWE-532

Identificadores relacionados

CVE-2023-50253
GHSA-G9C8-WH35-G75F

Produtos afetados

Laf