PT-2024-33271 · Kyverno+1 · Kyverno+1

Jeidsath

·

Publicado

2024-10-29

·

Atualizado

2026-04-16

·

CVE-2024-48921

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do Kyverno anteriores à 1.13.0
Descrição
Uma ClusterPolicy do Kyverno pode ser substituída pela criação de uma PolicyException em um namespace aleatório. Por padrão, as PolicyExceptions são consumidas a partir de qualquer namespace, o que pode permitir que usuários com privilégios em namespaces que não sejam do Kyverno criem exceções. Os administradores podem não reconhecer essa possível burla.
Recomendações
Para versões anteriores à 1.13.0, atualize para a versão 1.13.0 para corrigir a vulnerabilidade. Como solução temporária, considere restringir a criação de objetos PolicyException a namespaces autorizados até que a atualização seja aplicada. Restrinja o acesso ao objeto PolicyException para minimizar o risco de exploração. Evite usar o objeto PolicyException em namespaces que não sejam do Kyverno até que o problema seja resolvido.

Exploit

Correção

Incorrect Authorization

Improper Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-863CWE-285

Identificadores relacionados

BIT-KYVERNO-2024-48921
CLEANSTART-2026-UQ68343
CLEANSTART-2026-WI71304
CVE-2024-48921
ECHO-9C9E-8996-A967
GHSA-QJVC-P88J-J9RM
GO-2024-3230
OPENSUSE-SU-2024:0350-1
OPENSUSE-SU-2024:14447-1
OPENSUSE-SU-2024_3911-1
SUSE-SU-2024:3911-1

Produtos afetados

Kyverno
Suse