CVE-2024-9486

Versões do Kubernetes Image Builder <= v0.1.37

Foi detectada uma falha de segurança no Kubernetes Image Builder, na qual credenciais padrão são ativadas durante o processo de criação de imagens. Imagens de máquinas virtuais criadas usando o provedor Proxmox não desativam essas credenciais padrão, e os nós que utilizam as imagens resultantes podem ser acessados por meio dessas credenciais padrão. As credenciais podem ser usadas para obter acesso root. Os clusters do Kubernetes só são afetados se seus nós utilizarem imagens de VM criadas pelo projeto Image Builder com seu provedor Proxmox. Essa vulnerabilidade permite que invasores explorem as credenciais padrão para assumir o controle de máquinas virtuais usando determinadas compilações de imagem.

Para versões do Kubernetes Image Builder <= v0.1.37, atualize para a v0.1.38 para mitigar este problema. Como solução alternativa temporária, considere desativar as credenciais padrão no processo de construção de imagens para impedir o acesso não autorizado. Restrinja o acesso às imagens de VM vulneráveis para minimizar o risco de exploração. Evite usar as credenciais padrão nos pontos de extremidade da API afetados até que o problema seja resolvido.