CVE-2024-7387

Nome do software vulnerável e versões afetadas:

openshift/builder (versões afetadas não especificadas)

Descrição:

Foi encontrada uma falha no openshift/builder, permitindo a injeção de comandos por meio de traversal de caminho. Isso permite que um usuário mal-intencionado execute comandos arbitrários no nó do OpenShift que está executando o contêiner do builder. Ao usar a estratégia “Docker”, os arquivos executáveis dentro do contêiner de compilação privilegiado podem ser substituídos usando o atributo spec.source.secrets.secret.destinationDir da definição BuildConfig. Um invasor executando código em um contêiner privilegiado poderia escalar suas permissões no nó que executa o contêiner.

Recomendações:

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.