PT-2024-36825 · Unknown · Fence Agents Remediation Operator
Avinash Hanwate
+1
·
Publicado
2024-08-11
·
Atualizado
2024-08-30
·
CVE-2024-5651
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Operador de remediação do Fence Agents (versões afetadas não especificadas)
Descrição
Foi encontrada uma falha no operador Fence Agents Remediation, permitindo uma execução remota de código (RCE) por meio do fornecimento de um comando arbitrário a ser executado nos argumentos
--ssh-path/--telnet-path. Isso pode levar a uma escalada de privilégios, primeiro como a conta de serviço que executa o operador e, em seguida, para outra conta de serviço com privilégios de administrador de cluster. Um usuário com privilégios baixos, como um usuário com acesso de desenvolvedor, pode criar um FenceAgentsRemediation especialmente criado para um agente de fence que suporte os argumentos --ssh-path/--telnet-path para executar comandos arbitrários no pod do operador.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Fence Agents Remediation Operator