Vulnerabilidad en Kubernetes (CVE-2023-51699)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
15/03/2024
Última modificación:
09/04/2025
Descripción
Fluid es un acelerador y orquestador de conjuntos de datos distribuidos nativo de Kubernetes de código abierto para aplicaciones con uso intensivo de datos. Una vulnerabilidad de inyección de comandos del sistema operativo dentro de JuicefsRuntime del proyecto Fluid puede potencialmente permitir que un usuario autenticado, que tiene la autoridad para crear o actualizar el conjunto de datos CRD/JuicefsRuntime de K8s, ejecute comandos arbitrarios del sistema operativo dentro de los contenedores relacionados con Juicefs. Esto podría dar lugar a un acceso no autorizado, modificación o eliminación de datos. Los usuarios que usan versiones <0.9.3 con JuicefsRuntime deben actualizar a la v0.9.3.
Impacto
Puntuación base 3.x
4.00
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:linuxfoundation:fluid:*:*:*:*:*:*:*:* | 0.9.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/fluid-cloudnative/fluid/commit/e0184cff8790ad000c3e8943392c7f544fad7d66
- https://github.com/fluid-cloudnative/fluid/security/advisories/GHSA-wx8q-4gm9-rj2g
- https://github.com/fluid-cloudnative/fluid/commit/e0184cff8790ad000c3e8943392c7f544fad7d66
- https://github.com/fluid-cloudnative/fluid/security/advisories/GHSA-wx8q-4gm9-rj2g