Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Kubernetes (CVE-2024-31216)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-532 Exposición de información a través de archivos de log
Fecha de publicación:
15/05/2024
Última modificación:
15/05/2024

Descripción

El controlador de fuente es un operador de Kubernetes, especializado en la adquisición de artefactos de fuentes externas como Git, OCI, repositorios Helm y depósitos compatibles con S3. El controlador de fuente implementa la API source.toolkit.fluxcd.io y es un componente central del kit de herramientas GitOps. Antes de la versión 1.2.5, cuando el controlador de origen se configuraba para usar un token SAS de Azure al conectarse a Azure Blob Storage, el token se registraba junto con la dirección URL de Azure cuando el controlador encontraba un error de conexión. Un atacante con acceso a los registros del controlador de origen podría usar el token para obtener acceso a Azure Blob Storage hasta que caduque el token. Esta vulnerabilidad se solucionó en el controlador de fuente v1.2.5. No existe ninguna solución para esta vulnerabilidad excepto el uso de un mecanismo de autenticación diferente, como Azure Workload Identity.

Impacto

Vector 3.x
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.10 MEDIA
Vector: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
5.10
Gravedad 3.x
MEDIA

Referencias a soluciones, herramientas e información