PT-2024-2571 · Helm+2 · Helm+2

Jake-Ciolek

·

Publicado

2024-02-21

·

Atualizado

2025-11-28

·

CVE-2024-26147

CVSS v4.0

8.7

Alta

VetorAV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N
Nome do software vulnerável e versões afetadas
Versões do Helm anteriores à 3.14.2
Descrição
O problema está relacionado a uma vulnerabilidade de variável não inicializada quando o Helm analisa arquivos YAML de índice e de plug-ins que não contêm o conteúdo esperado. Isso pode causar um erro grave no Helm quando um arquivo index.yaml ou o arquivo plugin.yaml de um plug-in não contém nenhum metadado. A vulnerabilidade é encontrada no Helm SDK ao usar as funções LoadIndexFile ou DownloadIndexFile no pacote repo ou a função LoadDir no pacote plugin. Para o cliente Helm, isso afeta funções relacionadas à adição de um repositório e todas as funções do Helm caso um plugin malicioso seja adicionado.
Recomendações
Se estiver usando versões do Helm anteriores à 3.14.2, atualize para o Helm v3.14.2 para resolver o problema.
Se um plugin malicioso tiver sido adicionado e estiver causando pânico em todos os comandos do cliente Helm, remova manualmente o plugin malicioso do sistema de arquivos.
Para versões do Helm SDK anteriores à 3.14.2, as chamadas às funções afetadas podem usar recover para interceptar o pânico.

Exploit

Correção

Use of Uninitialized Resource

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-457CWE-908

Identificadores relacionados

ALT-PU-2024-7321
ALT-PU-2024-8552
ALT-PU-2025-10258
ALT-PU-2025-1444
AZL-34454
AZL-34584
AZL-38497
BDU:2024-02609
BIT-HELM-2024-26147
CVE-2024-26147
GHSA-R53H-JV2G-VPX6
GO-2024-2575
OPENSUSE-SU-2024:13708-1
OPENSUSE-SU-2024:13778-1
OPENSUSE-SU-2024:13918-1
OPENSUSE-SU-2024_1137-1
OPENSUSE-SU-2025:15779-1
SUSE-RU-2024:4213-1
SUSE-SU-2024:1137-1
SUSE-SU-2025:20196-1
SUSE-SU-2025:20278-1

Produtos afetados

Alt Linux
Helm
Suse