Vulnerabilidad en Red Hat, Inc. (CVE-2024-12582)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
24/12/2024
Última modificación:
24/12/2024
Descripción
Se encontró una falla en la consola del clúster, una interfaz de solo lectura que muestra la red del clúster, detalles de tráfico y métricas para una aplicación de red que un usuario configura en un entorno híbrido de múltiples nubes. Cuando se utiliza el método de autenticación predeterminado, se genera una contraseña aleatoria para el usuario "admin" y se conserva en un secreto de Kubernetes o en un volumen podman en un archivo de texto plano. Este método de autenticación puede ser manipulado por un atacante, lo que lleva a la lectura de cualquier archivo legible por el usuario en el sistema de archivos contenedor, lo que afecta directamente la confidencialidad de los datos. Además, el atacante puede inducir a la recopilación a leer archivos extremadamente grandes en la memoria, lo que provoca el agotamiento de los recursos y un ataque de denegación de servicio.
Impacto
Puntuación base 3.x
7.10
Gravedad 3.x
ALTA