PT-2024-20771 · Red Hat+1 · Openshift Dedicated+1
Robb Gatica
+1
·
Publicado
2024-12-19
·
Atualizado
2025-01-10
·
CVE-2024-25131
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do OpenShift Dedicated anteriores à v0.0.0-20240604173837-d1557bc283dd
Descrição
Foi encontrada uma falha no Recurso Definido pelo Usuário (CRD) MustGather.managed.openshift.io do OpenShift Dedicated. Essa vulnerabilidade permite que um usuário sem privilégios no cluster crie um objeto MustGather com um arquivo especialmente criado e defina a conta de serviço com mais privilégios para executar a tarefa, potencialmente elevando seus privilégios ao nível de administrador do cluster e obtendo acesso ao ambiente AWS.
Recomendações
Para versões do OpenShift Dedicated anteriores à v0.0.0-20240604173837-d1557bc283dd, atualize para a versão v0.0.0-20240604173837-d1557bc283dd ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao MustGather CRD para impedir que usuários sem privilégios criem arquivos especialmente criados para esse fim.
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Openshift Dedicated
Suse