CVE-2024-7557

Versões do OpenShift AI anteriores à 2.9

Foi identificada uma vulnerabilidade no OpenShift AI que permite a contornar a autenticação e a escalada de privilégios entre modelos dentro do mesmo namespace. Ao implantar modelos de IA, a interface do usuário oferece a opção de proteger os modelos com autenticação. No entanto, as credenciais de um modelo podem ser usadas para acessar outros modelos e APIs dentro do mesmo namespace. Os tokens de ServiceAccount expostos, visíveis na interface do usuário, podem ser utilizados com o comando oc --token={token} para explorar os privilégios de visualização elevados associados à ServiceAccount, levando ao acesso não autorizado a recursos adicionais.

Para versões do OpenShift AI anteriores à 2.9, atualize para a versão 2.9 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso aos tokens de ServiceAccount expostos e limitar o uso de privilégios de visualização elevados associados ao ServiceAccount. Evite usar a variável token no comando oc --token={token} até que o problema seja resolvido.