PT-2024-17578 · Unknown · Cert-Manager
Naveensrinivasan
·
Publicado
2024-11-20
·
Atualizado
2026-01-30
·
CVE-2024-12401
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do cert-manager anteriores à 1.12.14
Versões do cert-manager anteriores à 1.15.4
Versões do cert-manager anteriores à 1.16.2
Descrição
Foi encontrada uma falha no pacote cert-manager, permitindo que um invasor capaz de modificar dados PEM lidos pelo cert-manager utilize grandes quantidades de CPU no pod do controlador cert-manager, criando efetivamente um vetor de negação de serviço (DoS) para o cert-manager no cluster. Esta vulnerabilidade afeta todas as versões do cert-manager desde, pelo menos, a v0.1.0. O impacto é reduzido devido ao tamanho limitado dos Secrets no Kubernetes, mas um invasor ainda poderia criar um vetor de DoS inserindo muitos recursos de grande porte no cluster.
Recomendações
Para versões anteriores à 1.12.14, atualize para a versão 1.12.14 ou posterior.
Para versões anteriores à 1.15.4, atualize para a versão 1.15.4 ou posterior.
Para versões anteriores à 1.16.2, atualize para a versão 1.16.2 ou posterior.
Como solução alternativa temporária, certifique-se de que o RBAC esteja configurado corretamente em seu cluster para limitar a capacidade dos usuários de modificar recursos que contenham dados PEM.
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cert-Manager