PT-2024-30617 · Openshift · Openshift
Zack Miele
·
Publicado
2024-04-30
·
Atualizado
2024-06-19
·
CVE-2024-4369
CVSS v3.1
6.8
Média
| Vetor | AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
OpenShift (versões afetadas não especificadas)
Descrição
Foi identificada uma falha de divulgação de informações no operador do registro interno de imagens do OpenShift. O
AZURE CLIENT SECRET pode ser exposto por meio de uma variável de ambiente definida na definição do pod, mas isso se limita a ambientes do Azure. Um invasor que controle uma conta com permissões suficientes para obter informações do pod a partir do namespace openshift-image-registry poderia usar esse segredo de cliente obtido para realizar ações como a conta de serviço do Azure do operador do registro.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Openshift