Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Kubean (CVE-2024-41820)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
05/08/2024
Última modificación:
06/08/2024

Descripción

Kubean es una cadena de herramientas de gestión del ciclo de vida del clúster basada en kubespray y otros motores LCM del clúster. ClusterRole tiene verbos `*` de recursos `*`. Si un usuario malintencionado puede acceder al nodo trabajador que tiene la implementación de Kubean, puede abusar de estos permisos excesivos para hacer lo que quiera en todo el clúster, lo que resultará en una escalada de privilegios a nivel de clúster. Este problema se solucionó en la versión 0.18.0. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.