PT-2024-4423 · Cri-O+2 · Cri-O+2

Eriksjolund

·

Publicado

2024-06-03

·

Atualizado

2025-06-23

·

CVE-2024-5154

CVSS v3.1

8.1

Alta

VetorAV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N
Nome do software vulnerável e versões afetadas
Versões do cri-o anteriores à 1.30.1
Versões do cri-o anteriores à 1.29.5
Versões do cri-o anteriores à 1.28.7
Descrição
Foi encontrada uma falha no cri-o, permitindo que um contêiner malicioso crie um link simbólico para arquivos arbitrários no host por meio de traversal de diretório (“../”). Essa falha permite que o contêiner leia e grave em arquivos arbitrários no sistema host. Um contêiner malicioso pode afetar o host aproveitando-se do código adicionado pelo cri-o para mostrar as montagens do contêiner no host.
Recomendações
Para versões do cri-o anteriores à 1.30.1, atualize para a versão 1.30.1 ou posterior.
Para versões do cri-o anteriores à 1.29.5, atualize para a versão 1.29.5 ou posterior.
Para versões do cri-o anteriores à 1.28.7, atualize para a versão 1.28.7 ou posterior.
Como solução alternativa temporária, considere restringir o uso da funcionalidade do contêiner vulnerável até que um patch esteja disponível.

Correção

Path traversal

Exposure of Resource to Wrong Sphere

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-22CWE-668

Identificadores relacionados

ALT-PU-2024-10202
ALT-PU-2024-10370
ALT-PU-2024-9808
ALT-PU-2024-9810
BDU:2024-04923
CVE-2024-5154
GHSA-J9HF-98C3-WRM8
GO-2024-2919
RHSA-2024:3676
RHSA-2024:3700
RHSA-2024:4008
RHSA-2024:4159
RHSA-2024:4486

Produtos afetados

Alt Linux
Red Os
Cri-O