PT-2024-25231 · Unknown · Piraeus-Operator
Houqiyua
·
Publicado
2024-05-03
·
Atualizado
2024-07-03
·
CVE-2024-33398
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
piraeus-operator versões 2.5.0 e anteriores
Descrição
A vulnerabilidade permite que um invasor se faça passar pela conta de serviço vinculada a um ClusterRole no piraeus-operator, à qual foi concedida a permissão para listar segredos. Essa permissão permite que o invasor liste informações confidenciais em todo o cluster, representando um alto risco.
Recomendações
Para as versões 2.5.0 e anteriores do piraeus-operator, considere restringir os privilégios do ClusterRole para impedir que um invasor liste segredos.
Como solução temporária, considere desativar a permissão de listar segredos para o ClusterRole até que um patch esteja disponível.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Piraeus-Operator