CVE

Vulnerabilidad en KubePi (CVE-2024-36111)

Severidad:

MEDIA

Type:

No Disponible / Otro tipo

Fecha de publicación:

25/07/2024

Última modificación:

26/07/2024

Descripción

KubePi es un panel K8. A partir de la versión 1.6.3 y anteriores a la versión 1.8.0, existe un defecto en la verificación del token JWT de KubePi. La clave JWT en el archivo de configuración predeterminado está vacía. Aunque se generará una cadena aleatoria de 32 bits para sobrescribir la clave en el archivo de configuración cuando se detecta que la clave está vacía en la lógica de lectura del archivo de configuración, la clave está vacía durante la verificación real. El uso de una clave vacía para generar un token JWT puede omitir la verificación de inicio de sesión y tomar el control directamente del back-end. La versión 1.8.0 contiene un parche para este problema.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Bajo

Puntuación base 3.x

6.30

Severidad 3.x

MEDIA

Referencias a soluciones, herramientas e información

https://github.com/1Panel-dev/KubePi/security/advisories/GHSA-8q5r-cvcw-4wx7