CVE-2024-56513

Nome do Software Vulnerável e Versões Afetadas: Versões do Karmada anteriores a 1.12.0

Descrição: O problema está relacionado a privilégios excessivos em clusters no modo PULL, permitindo que um atacante que consiga se autenticar como o karmada-agent obtenha privilégios administrativos sobre todo o sistema de federação, incluindo todos os clusters membros registrados. Isso pode ser explorado mediante o abuso das permissões do comando karmadactl register. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Não há informações sobre incidentes no mundo real onde este problema tenha sido explorado.

Recomendações: Para versões do Karmada anteriores a 1.12.0, atualize para a versão 1.12.0 ou posterior para restringir as permissões de acesso dos clusters membros no modo PULL aos recursos do plano de controle. Como solução temporária, restrinja as permissões de acesso dos clusters membros no modo PULL aos recursos do plano de controle de acordo com a Documentação de Permissões de Componentes do Karmada.